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内 容 简 介 

本 书 详细 介绍 网 络 管理 技术 及 网 络 管理 工具 ,并 分 别 介绍 了 网 络 服务 器 的 系统 管理 网 络 服务 管理 、 
网 络 设备 管理 、 网 络 流量 管理 .网 络 客户 端 管理 和 故障 管理 等 方面 的 内 容 。 通 过 简单 、 易 悦 的 介绍 和 操作 
说 明 ,真正 使 读者 掌握 书 中 的 知识 。 另 外 ,在 书 中 还 介绍 了 大 量 的 网 络 管理 工具 ,通过 使 用 这 些 管 理工 具 ， 
使 管理 员 能 够 更 加 高 效 地 管理 网 络 。 本 书 针对 网 络 管理 和 监控 的 实际 需求 ,通过 大 量 的 技能 特 训 和 综合 
特 训 ,迅速 培养 和 提高 读者 的 动手 能 力 和 技术 水 平 。 

本 书 既 可 作为 培养 21 世纪 计算 机 网 络 系统 集成 工程 师 的 教材 ,同时 也 是 从 事 计算 机 网 络 的 规划 、 设 
计 、 管 理 和 应 用 集成 的 专业 技术 人 员 的 必 备 工具 书 。 
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.PREFACE 从 书 序 …， 


近年 来 ,计算 机 网 络 在 我 国 已 经 得 到 了 较 快 的 发 展 。 许 多 企业 .事业 单位 , 行 
政 机 关 、 司 法 机 构 和 金融 系统 构建 了 高 速 的 办 公 专 用 网 。 各 种 类 型 的 计算 机 网 络 
高 达 数 十 万 个 ,计算 机 网 络 已 经 深入 到 我 们 工作 、 生 活 和 学 习 的 方方面面 。 

毫 无 疑问 ,大 量 的 网 络 必然 需要 大 量 的 网 络 管理 人 才 。 初 步 估计 ,到 目前 为 
止 , 仅 我 国 每 年 需要 的 网 络 管理 人 才 就 达 十 余 万 人 。 随 着 网 络 应 用 的 日 益 深入 以 
及 网 络 所 承载 的 业务 量 和 数据 量 的 不 断 增 长 ,网 络 的 重要 性 和 安全 性 也 将 与 日 俱 
增 , 对 网 络 管理 人 员 的 需求 也 将 随 之 不 断 地 增长 。 由 此 可 见 , 网 络 管理 是 一 个 稳定 
且 前 途 远大 的 职业 。 

综观 现 有 的 网 络 技术 培养 教材 ,大 多 将 网 络 技术 进行 条 块 分 割 , 按 章节 、 分 模 
块 独立 讲授 ,人 为 地 将 紧密 联系 在 一 起 的 各 种 理论 和 技术 分 裂 开 来 。 这 样 所 带 来 
的 问题 就 是 ,学 生 必须 将 所 学 的 知识 和 理论 全 部 融会 贯通 之 后 ,才能 初步 掌握 作为 
一 个 网 络 技术 人 员 所 必须 具备 的 一 些 基本 技能 ,显然 这 不 符合 学 生 的 学 习 规 律 ,也 
不 符合 现实 的 网 络 管理 实际 ,同时 ,也 是 导致 许多 网 络 爱好 者 望而却步 的 重要 
原因 。 

本 丛书 具有 以 下 特点 。 

(1) 案例 贯穿 。 本 丛书 从 最 常见 .最 典型 的 网 络 应 用 情境 和 需求 入 手 , 围 绕 统 
一 的 网 络 环境 ,统一 的 网 络 规 划 、 统 一 的 网 络 拓扑 统一 的 资源 分 配 、 统 一 的 网 络 用 
户 和 统一 的 网 络 需求 ,提供 全 面 的 网 络 解 决 方案 ,以 及 实用 、 够 用 的 网 络 技术 ,为 网 
络 ,工程 师 提供 宝典 级 别 的 现场 技术 手册 。 

(2) 项 目 驱动 。 本 丛书 由 情境 导入 需求 ,以 项 目 进行 教学 ,再 由 实 训 实现 强 
化 ,进而 达到 培养 技能 的 目的 ,最 终 使 学 生 顺 利 就 业 。 按 照 网 络 构建 的 工作 过 程 系 
统 化 课程 开发 ,以 真实 的 网 络 管理 过 程 为 导向 规划 课程 内 容 , 使 读者 能 够 真正 掌握 
网 络 构建 与 管理 的 知识 和 技能 ,独立 完成 相关 的 网 络 技术 项 目 。 

(3) 贴近 实战 。 本 丛书 突出 “ 先 做 后 学 , 边 做 边 学 ”的 主旨 ,通过 “ 练 中 求学 、 学 
中 求 练 、 练 学 结合 、 边 练 边 学 ”的 教学 内 容 安排 ,实现 “学 得 会 ,用 得 上 ”的 最 终 目的 。 
由 于 全 书 围绕 统一 的 典型 网 络 工 程 展开 ,因此 ,读者 能 够 非常 方便 地 将 教学 案例 移 
植 到 真实 的 网 络 项 目 中 ,学 为 所 用 ,学 以 致 用 。 

(4) 内 容 全 面 。 本 丛书 涵盖 了 作为 初 , 中 级 网 络 管理 员 必 须 掌握 的 所 有 理论 
和 技术 ,以 网 络 管理 的 实际 需求 为 导向 ,以 培养 基本 技能 为 目的 ,将 枯燥 的 理论 融 
于 实际 操作 中 ,从 而 使 学 生 学 得 会 .记得 住 、 用 得 上 。 

(5) 兴趣 教学 。 本 丛书 设计 的 教学 内 容 按 照 "案例 情景 ~ 需求 分 析 一 解决 方 
案 一 技术 操作 一 理论 背景 的 结构 进行 组 织 ,有 实际 案例 ,有 动手 操作 .有 理论 分 
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析 , 可 以 激发 读者 的 学 习 兴 趣 和 学 习 的 主动 性 ,培养 读者 解决 实际 问题 的 能 力 , 提 高 读者 的 

综合 实战 水 平 。 
(6) 注重 动手 。 本 丛书 加 大 了 动手 操作 的 比重 ,减弱 了 理论 知识 的 介绍 ,以 适应 特定 的 

读者 群 ,体现 “做 中 学 "的 宗旨 。 借 助 大 量 的 网 络 实验 ,可 以 使 读者 迅速 提高 技术 和 技能 。 

(7) 涵盖 认证 。 本 丛书 充分 考虑 到 了 网 络 管理 员 的 职业 需求 及 职业 资格 认证 要 求 ,在 
内 容 安排 和 习题 设置 上 与 相关 认证 紧密 结合 ,基本 涵盖 了 国内 认证 (网 络 管理 员 、 网 络 工程 
师 ) 和 国际 认证 (MCSE、CCNA) 所 涉及 的 理论 和 知识 技能 ,以 帮助 学 生 获取 “ 双 证 书 ” 一 一 学 
历 证 书 和 职业 资格 证 书 , 增 强 学 生 的 就 业 竞 争 力 。 

(8) 资深 作者 。 本 丛书 作者 全 部 来 源 于 网 络 教学 、 网 络 管理 和 网 络 工 程 第 一 线 , 具 有 非 
常 丰 富 的 网 络 设计 ,施工 和 管理 经 验 , 既 掌握 理论 技术 ,又 通晓 实际 操作 。 作 者 们 做 了 大 量 
的 技术 需求 和 人 才 需 求 调研 ,多 次 修改 提纲 以 使 其 更 加 符合 网 络 搭建 和 管理 实际 。 

(9) 深度 支持 。 本 丛书 不 仅 提 供 优秀 的 纸 质 教 材 , 还 为 教师 提供 了 电子 课件 和 全 方位 
的 技术 支持 ,同时 设置 有 QQ 群 在 线 答疑 .E-mail 离线 交流 和 BBS 论坛 互动 平台 ,并 为 读者 
提供 网 络 构建 方案 和 配置 技术 咨询 ,形成 一 个 让 师 生 更 加 方便 .更 加 自主 学 习 的 教学 环境 ， 
有 效 地 提升 了 教师 授课 和 学 生 学 习 的 能 力 。 

本 丛书 删 繁 就 简 ,围绕 一 个 典型 的 网 络 工程 展开 理论 和 技术 讲解 , 吉 括 了 网 络 布线 、 网 
络 搭建 ,网 络 管理 ,网 络 服务 网络 安全 ,数据 存储 等 各 种 组 网 . 管 网 和 用 网 技术 。 因 此 ,读者 
学 完 本 套 丛 书后 ,可 以 直接 将 其 应 用 至 自己 的 工作 实践 。 即 使 是 初学 者 ,只 要 熟悉 
Windows 的 一 般 操 作 , 就 能 非常 容易 地 上 手 ,迅速 成 长 为 一 名 合格 的 网 络 管理 员 。 


刘 晓 辉 
2010 年 6 月 


随 着 信息 化 进程 的 推进 ,几乎 所 有 的 企 事业 单位 都 有 自己 的 网 络 ,而 由 此 产生 
的 网 络 管理 人 才 的 需求 缺口 正在 逐年 扩大 。 据 相关 部 门 统计 ,2009 年 网 络 管理 人 
才 缺 口 达到 13. 5 万 人 ,许多 企业 不 惜 重金 ,招募 一 名 出 色 的 网 络 管理 人 员 。 随 着 
网 络 应 用 的 不 断 拓 展 , 企 业 发 展 对 计算 机 网 络 的 依赖 性 将 越 来 越 强 ,而 掌握 大 量 精 
尖 网 络 技术 的 人 才 也 会 变 得 越 来 越 受 欢迎 。 为 什么 在 如 此 光明 的 就 业 形势 下 , 却 
经 常 听 到 网 络 管理 员 的 工资 只 有 几 百 元 呢 ? 原因 很 简单 ,企业 真正 需要 的 网 络 管 
理 员 ,是 能 够 独当一面 .不 需 不 断 培训 的 专业 人 员 。 向 网 络 工程 师 晋 升 ,是 摆 在 网 
络 管理 员 面 前 的 唯一 出 路 。 

本 套 丛 书 作 为 网 络 工程 师 培训 教材 ,以 实际 的 公司 网 络 为 案例 ,以 打造 实用 的 
网 络 工程 师 为 目标 ,以 实用 和 技能 为 主 , 握 弃 了 复杂 的 原理 ,以 简明 的 操作 为 引导 ， 
通俗 易 懂 , 上 手 容 易 。 读 者 只 需 按 照 书 中 的 操作 来 学 习 , 就 能 掌握 相应 的 技能 ,学 
完全 套 书 之 后 , 即 可 掌握 大 部 分 的 网 络 知识 。 

本 书 以 目前 中 小 型 网 络 为 管理 背景 ,充分 考虑 了 网 络 管理 所 包含 的 各 方面 内 
容 ,以 及 网 络 管理 过 程 中 可 能 遇 到 的 问题 ,是 一 本 实用 性 很 强 的 丛书 。 本 书 所 介绍 
的 所 有 管理 工具 及 软件 均 无 须 掌 握 复杂 和 高 深 的 理论 知识 ,或 丰富 的 网 络 管理 经 
验 ,只 需 按 照 书 中 操作 步骤 操作 , 即 可 轻松 实现 网 络 管 理 。 

全 书 共 分 为 13 章 ,详细 介绍 管理 Windows 服务 器 和 客户 端 ,Cisco 网 络 设备 
的 软件 的 功能 、 特 点 及 应 用 实例 ,网 络 故障 的 诊断 与 排除 等 方面 的 知识 。 第 1 章 网 
络 管理 规划 ,从 整个 网 络 的 管理 任务 出 发 ,对 整个 网 络 项 目的 管理 需求 进行 分 析 和 
规划 。 第 2 章 Windows 系统 管理 ,详细 介绍 Windows 系统 管理 的 内 容 及 方法 。 
第 3 章 Windows 系统 性 能 管理 ,详细 介绍 影响 系统 性 能 的 原因 ,以 及 提高 性 能 的 
方法 措施 。 第 4 章 Windows 系统 安全 管理 ,详细 介绍 提高 Windows 系统 安全 的 
方法 ,以 及 如 何 使 用 系统 日 志 功 能 。 第 5 章 Windows 网 络 服务 管理 ,详细 介绍 
Windows 服务 的 管理 方法 ,以 及 Windows 群集 技术 。 第 6 章 网 络 设备 管理 ,介绍 
Cisco 网 络 设备 的 管理 方式 ,以 及 设备 的 配置 管理 内 容 。 第 7 章 网 络 流量 和 流量 
监控 与 分 析 , 介 绍 常用 的 网 络 性 能 测试 工具 、 网 络 带 宽 测 试 工具 和 网 络 流量 统计 工 
具 。 第 8 章 网 络 链 路 管理 ,分 别 介绍 物理 链 路 和 逻辑 链 路 测试 工具 的 使 用 方法 。 
第 9 章 网 络 协议 和 资源 管理 ,介绍 网 络 协议 管理 工具 和 如 何 管理 共享 资源 等 内 容 。 
第 10 章 网 络 安全 管理 ,介绍 网 络 设备 的 安全 管理 ,网 络 安全 设备 的 管理 及 客户 端 
计算 机 的 安全 管理 。 第 11 章 网 络 客户 端 管理 ,介绍 关于 客户 端 计 算 机 的 系统 更 
新 管理 ,网 络 接 入 管理 ,组 策略 管理 及 使 用 组 策略 分 发 系统 和 应 用 程序 管理 等 内 
容 。 第 12 章 系统 故障 诊断 与 排除 ,详细 介绍 当 系统 发 生 故 障 时 的 应 对 方法 。 
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第 13 章 网 络 设备 故障 的 诊断 与 排除 ,详细 介绍 发 生 网 络 故障 的 原因 及 排除 过 程 等 内 容 。 

为 了 让 读者 更 深入 地 了 解 所 学 的 知识 ,在 每 章 的 最 后 还 配备 了 习题 和 实验 ,从 而 可 以 起 
到 复习 和 测验 的 作用 ,能 使 读者 尽快 迈 向 网 络 工 程 师 的 行列 。 

本 书 可 作为 大 中 专 院 校 计算 机 网 络 专 业 的 教材 ,也 可 作为 中 小 型 网 络 管理 员 、 网 络 工程 
技术 人 员 和 网 络 爱好 者 的 参考 书 。 

本 从 书 由 刘 晓 辉 、 张 运 凯 、 李 福 亮 主编 。 本 书 由 马 雪 松 、 褚 建立 等 编著 ,具体 分 工 如 下 : 
马 雪松 编写 了 第 1~4 章 , 褚 建立 编写 了 第 5~7 章 , 肖 丽 芳 编写 了 第 8~9 章 , 李 利 军 编写 了 
第 10 章 , 李 福 亮 编写 了 第 11~12 章 , 陈 志 成 编写 了 第 13 章 。 编 者 长 期 从 事 系统 维护 和 网 
络 管理 工作 ,具有 较 高 的 理论 水 平和 丰富 的 实践 经 验 , 本 书 作 为 对 一 段 工作 的 总 结 与 回顾 ， 
希望 能 对 大 家 的 系统 维护 和 网 络 管理 工作 有 所 帮助 。 
于 编者 水 平 有 限 , 书 中 难免 有 不 足 之 处 ,恳请 广大 读者 批评 指正 。 


编 者 
2010 年 4 月 
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1 章 chapter 1。 
网 络 管理 规划 


全 面 管 理 网 络 是 网 络 高 效 运行 的 前 提 和 保障 ,管理 的 对 象 不 仅 指 网 络 链 路 的 畅通 、 服 务 
器 的 正常 运行 等 硬 因 素 , 更 包括 网 络 应 用 、 数 据 流转 等 软 因素 。 网 络 管理 者 必须 时 刻 关 注 本 
企业 网 络 的 运行 ,关心 企业 对 网 络 的 应 用 ,让 网 络 能 够 随时 满足 企业 的 需求 ,或 者 说 是 引导 
企业 的 发 展 。 


1.1 项 目 背 景 


某 高 新 产品 研发 企业 拥有 员工 2000 余人 ,公司 总 部 坐落 在 省 会 城市 高 新 技术 开发 区 ， 
拥有 4 个 生产 车 间 和 两 栋 职工 宿舍 楼 ,产品 展示 、 技 术 开 发 与 企业 办 公 均 在 智能 大 厦 中 进 
行 。 该 企业 在 外 地 另 开 设 有 两 家 分 公司 ,由 总 公司 进行 统一 管理 和 部 署 。 目 前 ,该 企业 网 络 
的 拓扑 结构 如 图 1-1 所 示 ,基本 情况 如 下 。 

(1) 在 当前 网 络 中 ,所 有 的 网 络 设备 使 用 的 均 为 Cisco 的 产品 , 接 入 层 交 换 机 为 Cisco 
Catalyst 2960 ,汇聚 层 交 换 机 为 Cisco Catalyst 3750 ,核心 层 交 换 机 为 Cisco Catalyst 4506 ， 
防火 墙 为 Cisco ASA 5540。 

(2) 服务 器 所 使 用 的 操作 系统 平台 为 Windows Server 2003 和 Windows Server 2008 
其 中 以 Windows Server 2008 为 主 。 

(3) 接 入 Internet 方式 采用 100M 光纤 方式 。 现 有 接 入 用 户 数 量 为 500 个 ,客户 端 均 
使 用 私有 IP 地 址 ,通过 路 由 器 地 址 转换 接 入 Internet。 部 分 服务 器 IP 地 址 为 共有 IP 
地 址 。 

(4) 局 域 网 覆盖 整个 厂区 ,中心 机房 位 于 智能 大 厦 的 第 3 层 ( 共 15 层 ) ,职工 宿舍 楼 和 
生产 车 间 均 有 网 络 覆盖 。 

(5) 客户 端 操作 系统 采用 Windows XP Professional 和 Windows Vista, 其 中 以 
Windows XP Professional 操作 系统 为 主 。 除 部 分 客户 端 需要 连接 Internet 外 ,其 他 客户 端 
均 只 在 局 域 网 内 通信 使 用 。 

(6) 会 议 室 、 产 品 展示 大 厅 等 公共 场所 部 署 无 线 接 入 点 ,实现 随时 随地 无 线 漫游 
接 入。 
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核心 交换 机 


1 
Cisco MARS 无 线 网 控制 器 


图 1-1 网 络 拓扑 结构 


1.2 ”项目 需求 


随 着 企业 的 日 益 发 展 .网 络 也 在 不 断 地 发 展 , 随 之 网 络 管理 的 难度 也 在 提高 。 因 为 企业 


只 有 为 数 不 多 的 几 个 管理 员 , 并 且 各 管理 员 之 间 的 分 工 不 同 , 即 每 个 管理 员 分 别管 理 网 络 的 
不 同 部 分 。 因 此 ,更 加 合理 地 、 统 一 地 管理 网 络 也 是 管理 任务 所 必需 的 。 


针对 当前 网 络 的 管理 ,具有 如 下 需求 。 
(1) 服务 器 管理 需求 。 因 为 服务 器 特殊 性 的 原因 ,对 服务 器 的 管理 必须 由 专人 负责 ,从 


而 保证 其 正常 .安全 地 工作 。 作 为 管理 任务 之 一 ,管理 员 还 应 时 时 关注 服务 器 的 运行 状况 。 


(2) 网 络 设备 管理 需求 。 网 络 设备 是 网 络 通信 的 神经 中 枢 , 任 何 一 个 设备 发 生 故 障 ,对 
F 与 之 相关 的 计算 机 而 言 都 是 致命 的 。 
(3) 客户 端 管理 需求 。 客 户 端 计算 机 是 网 络 的 主要 组 成 部 分 ,用 户 所 有 的 需求 都 需要 


通过 客户 端 实现 。 另 外 ,由 于 多 数 客户 端 计算 机 的 使 用 者 都 无 法 像 管 理 员 般 注 重 计算 机 的 
安全 ,所 以 客户 端的 安全 性 也 是 不 容 忽视 的 。 


(4) 网 络 管理 需求 。 只 有 将 计算 机 接 人 网 络 ,才能 真正 地 发 挥 网 络 的 作用 ,对 于 网 络 的 


管理 包括 网 络 链 路 、 网 络 协议 和 资源 等 。 


(5) 网 络 安全 管理 需求 。 网 络 安全 是 每 个 管理 员 所 必须 面 对 的 问题 ,安全 问题 也 是 最 
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难 管理 的 工作 之 一 。 
(6) 故障 管理 。 无 论 是 硬件 还 是 软件 都 不 可 能 保证 永远 不 出 问题 ,任何 一 种 设备 或 网 
络 的 组 成 部 分 都 有 发 生 故 障 的 可 能 。 


1.3 项目 分 析 
通过 对 各 部 分 的 管理 分 析 , 可 以 清楚 地 了 解 各 部 分 所 需要 的 管理 内 容 。 针 对 于 当前 网 
络 的 项 目 需求 ,具体 分 析 如 下 。 


(1) 服务 器 管理 。 因 为 服务 器 的 管理 所 涉及 的 内 容 比较 多 , 从 而 也 使 服务 器 的 管理 难 
度 比较 大 。 通 常情 况 下 ,服务 器 的 管理 包括 如 下 几 方 面 内 容 : Windows 系统 管理 Windows 
系统 性 能 管理 .Windows 系统 安全 管理 和 Windows 网 络 服务 管理 等 。 

(2) 网 络 设备 管理 。 网 络 设备 的 管理 不 单单 是 设备 硬件 的 管理 ,软件 的 管理 同样 重要 。 
通常 情况 下 ,网 络 设备 软件 是 网 络 实现 各 种 功能 的 基础 ,例如 VLAN 技术 的 使 用 。 在 设备 
购买 后 , 均 需 根据 网 络 的 需要 ,进行 相关 的 配置 。 对 于 已 经 可 以 正常 使 用 的 设备 , 则 需要 将 
其 配置 文件 进行 备份 ,在 设备 软件 发 生 故障 时 ,使 用 该 备份 文件 进行 恢复 。 

(3) 客户 端 管理 。 对 于 客户 端的 管理 ,如 果 需 要 实现 统一 管理 的 目的 , 则 需要 将 客户 端 
加 入 到 企业 域 中 ,然后 再 进行 相应 的 管理 。 

(4) 网 络 管理 。 网 络 管理 包括 网 络 链 路 的 管理 、 网 络 流量 及 监控 与 分 析 两 部 分 内 容 , 只 
要 网 络 中 的 计算 机 进行 通信 ,就 会 在 网 络 中 产生 流量 ,其 中 还 可 能 会 存在 不 允许 的 流量 , 因 
此 ,如 果 不 对 网 络 流量 进行 管理 ,其 混乱 程度 是 可 想 而 知 的 。 

(5) 网 络 安全 管理 。 网 络 安全 由 多 个 部 分 组 成 ,包括 Windows 系统 安全 管理 .网络 设 
备 安全 管理 ,网络 安 全 管理 .客户 端 安全 管理 等 。 

(6) 故障 管理 。 正 如 1. 2 节 所 说 ,故障 的 发 生 是 不 可 避免 的 ,如 何 才能 将 因为 故障 而 造 
成 的 损失 降 到 最 小 , 才 是 最 为 重要 的 。 网 络 中 的 故障 主要 分 为 服务 器 故障 和 网 络 设备 故障 ， 
其 中 服务 器 故障 主要 是 系统 故障 。 


1.4 项 目 规划 


通过 1. 3 节 对 网 络 项 目的 分 析 , 可 以 对 网 络 的 不 同 组 成 部 分 进行 相关 的 管理 规划 ,使 管 
理 员 的 管理 工作 更 加 有 秩序 ,使 管理 员 的 管理 效率 更 高 。 


1.4.1 服务 器 管理 规划 


根据 对 本 项 目 服务 器 管理 的 分 析 ,服务器 管理 分 为 如 下 几 部 分 内 容 。 

1. Windows 系统 管理 

Windows 系统 管理 主要 是 管理 与 系统 运行 相关 的 内 容 , 其 中 包括 磁盘 和 分 区 管理 、 系 
统 服务 管理 ,网络 服 务 管 理 . 进 程 管理 ,任务 管理 .用户 管理 .网 络 配置 与 协议 管理 .远程 管 
理 等 。 

2. Windows 系统 性 能 管理 

Windows 系统 性 能 管理 的 目的 是 保证 服务 器 的 性 能 或 提高 服务 器 的 性 能 ,使 服务 器 可 


3 


@e。 
网 络 管理 与 工具 软件 应 用 


以 更 好 地 提供 服务 。 为 了 提高 服务 器 的 性 能 .首先 应 选择 合适 的 操作 系统 软件 ,其 中 
Windows Server 2008 Server Core 操作 系统 是 Windows Server 2008 系列 操作 系统 中 占用 
资源 相对 较 少 的 服务 器 操作 系统 。 其 次 ,对 于 安装 图 形 界面 的 操作 系统 ,应 关闭 不 需要 的 图 
形 化 特效 ,以 提高 服务 器 的 性 能 。 最 后 ,作为 管理 员 还 应 随时 关注 服务 器 的 运行 情况 ,使 用 
可 靠 性 和 性 能 监视 器 ,可 以 随时 监控 服务 器 的 性 能 和 可 靠 性 指数 。 

3. Windows 系统 安全 管理 

Windows Server 2008 提供 了 一 系列 新 的 和 改进 的 安全 技术 ,这 些 技术 增强 了 对 操作 
系统 的 保护 ,为 企业 的 运营 和 发 展 葛 定 了 坚实 的 基础 。 使 用 安全 配置 向 导 , 可 以 通过 向 导 的 
方式 增强 系统 的 安全 性 。 通 过 配置 服务 器 的 本 地 安全 策略 ,从 而 提高 本 地 计算 机 的 安全 
级 别 。 

另外 ,在 Windows Server 2008 系统 中 ,日 志 系 统 是 一 个 非常 重要 的 功能 组 成 部 分 。 通 
过 “事件 查看 器 "中 的 事件 日 志 , 可 以 收集 关于 硬件 、 软 件 和 系统 问题 的 信息 。 

4. Windows 网 络 服务 管理 

服务 器 的 作用 是 为 网 络 提供 所 需 的 服务 ,该 功能 的 实现 需要 在 服务 器 上 安装 相应 的 角 
色 服 务 , 只 有 安装 了 相应 的 角色 服务 后 ,服务 器 才能 够 为 网 络 提供 相应 的 服务 。 在 
Windows Server 2008 操作 系统 中 ,服务 器 角色 及 角色 服务 的 安装 都 可 以 在 “服务 器 管理 
器 "窗口 中 实现 。 对 于 服务 器 角色 的 管理 , 则 可 以 通过 不 同 的 服务 器 角色 提供 的 独立 管理 单 
元 ,或 在 MMC 控制 台中 统一 管理 。 对 网 络 服务 稳定 性 要 求 较 高 的 服务 , 则 可 以 通过 故障 转 
移 群 集 技 术 实现 ,例如 文件 服务 器 。 网 络 访问 量 比较 大 的 服务 , 则 可 以 通过 网 络 负载 平衡 技 
术 实 现 , 例 如 Web 服务 器 。 

另外 ,网 络 服务 的 日 常 监控 也 是 不 容 忽视 的 工作 之 一 ,这 部 分 工作 可 以 在 网 络 中 部 署 网 
络 服务 监控 软件 ,使 其 7X24 小 时 监控 服务 器 。 


1.4.2 网 络 设 备 管理 规划 


网 络 设 备 主要 是 指 交换 机 、 路 由 器 和 防火 墙 , 这 些 设备 都 是 网 络 运 行 所 必 不 可 少 的 , 缺 
少 任何 一 部 分 都 无 法 完成 正常 的 网 络 要 求 。 

1. 管理 方式 的 选择 

虽然 网 络 设备 拥有 自己 的 操作 系统 ,但 却 不 像 真 正 的 计算 机 一 样 拥有 输入 /输出 设备 ， 
即 网 络 设备 的 管理 需要 借助 计算 机 来 实现 。 通 常情 况 下 ,管理 网 络 设备 的 方式 包括 如 下 几 
种 : 超级 终端 方式 .Telnet 方式 .Web 方式 和 网 络 管理 软件 方式 。 

2. 网 络 设备 的 初始 化 配置 

任何 网 络 设备 在 出 厂 前 ,生产 商都 已 经 对 网 络 设 备 进行 简单 配置 ,这 些 配 置 是 达 不 到 用 
户 的 使 用 需求 的 ,例如 ,无论 使 用 的 是 何 种 级 别 的 交换 机 ,如 果 用 户 不 进行 任何 配置 都 只 能 
被 用 作 二 层 交换 机 。 

3. 配置 文件 的 管理 

通常 情况 下 ,在 网 络 设备 配置 完成 后 ,是 不 会 发 生 改变 的 ,根据 管理 员 的 日 常 工 作 原 则 ， 
需要 将 所 有 的 配置 文件 进行 备份 。 另 外 ,由 于 配置 文件 可 以 上 传 到 其 他 设备 运行 ,所 以 通过 
备份 配置 文件 ,还 可 以 防止 在 设备 发 生 故 障 时 ,使 用 该 设备 取代 当前 设备 。 需 要 注意 的 是 ， 
并 不 是 所 有 的 配置 文件 都 是 通用 的 ,只 能 是 相同 厂商 的 设备 才能 实现 该 功能 ,这 里 所 指 的 设 
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备 均 为 Cisco 厂商 的 网 络 设备 。 

4. 网 络 管理 软件 

使 用 网 络 管理 软件 ,可 以 减少 管理 员 的 管理 任务 ,因为 管理 软件 所 使 用 的 都 是 图 形 化 管 
理 , 与 使 用 超级 终端 和 Telnet 方式 相 比 要 简单 得 多 。 最 主要 的 原因 是 使 用 网 络 管理 软件 可 
以 很 直观 地 查看 网 络 设备 的 监控 结果 。 


1.4.3 网络 流 量 管 理 规 划 


网 络 流 量 是 网 络 必 不 可 少 的 组 成 部 分 ,但 如 果 网 络 中 存在 大 量 的 非法 数据 时 , 则 会 降低 
网 络 的 稳定 性 ,此 时 , 则 需要 管理 员 了 解 网 络 中 流量 的 具体 情况 ,并 采取 相应 的 措施 。 

1. 网 络 带宽 的 监控 与 分 析 

网 络 带宽 会 在 网 络 的 使 用 过 程 中 出 现 老化 现象 , 当 老化 比较 严重 时 ,同样 会 影响 网 络 的 
正常 运行 , 即 在 网 络 使 用 中 管理 员 非 常 有 必要 定期 对 网 络 带 宽 进行 测试 。 同 样 , 受 外 界 环境 
影响 较 大 的 无 线 网 络 也 应 进行 必要 的 监控 和 分 析 。 

2， 网 络 流量 的 监控 与 分 析 

当 网 络 中 存在 大 量 的 流量 时 ,会 直接 降低 网 络 设备 的 性 能 ,并 导致 整个 网 络 的 性 能 下 
降 。 例 如 网 络 中 存在 使 用 P2P 软件 的 用 户 等 。 为 了 杜绝 这 种 情况 的 发 生 , 管 理 员 需要 实时 
监控 网 络 流量 情况 , 当 网 络 性 能 突然 下 降 时 , 则 可 以 第 一 时 间 查 看 是 否 是 由 网 络 流量 过 大 所 
引起 的 ,并 采取 相应 的 应 对 措施 。 

3. 网 络 吞吐 量 分 析 

吞吐 量 是 指 在 没有 帧 丢失 的 情况 下 ,设备 能 够 接受 的 最 大 速率 。 在 测试 中 以 一 定 速率 
发 送 一 定数 量 的 帧 ,并 计算 待 测 设备 传输 的 帧 ,如 果 发 送 的 帧 与 接收 的 帧 数量 相等 ,那么 就 
将 发 送 速 率 提高 并 重新 测试 ; 如 果 接 收 帧 少 于 发 送 帧 则 降低 发 送 速率 重新 测试 ,直至 得 出 
最 终结 果 。 在 实际 操作 中 ,这 些 操 作 均 是 由 软件 后 台 操 作 完成 ,管理 员 只 需 进 行 测试 前 的 设 
置 , 以 及 查看 测试 结果 。 

1.4.4 网 络 链 路 管理 规划 


常用 的 网 络 链 路 包括 双 绞 线 .光纤 和 电磁 波 ,在 当前 网 络 中 , 除 布线 困难 的 地 域 ,其 他 链 
路 均 采用 双 绞 线 或 光纤 。 当 网 络 链 路 发 生 故 障 时 ,可 以 通过 测试 工具 分 别 对 物理 链 路 和 导 
辑 链 路 进行 测试 。 

1. 网 络 物理 链 路 测试 

物理 链 路 的 测试 ,通常 需要 借助 于 物理 链 路 测试 工具 , 双 绞 线 链 路 的 测试 可 以 使 用 Fluke 
MircoScanner 或 简易 网 络 测试 仪 等 。 而 光纤 链 路 的 测试 , 则 可 以 通过 光纤 链 路 测试 工具 。 

2. 网 络 逻辑 链 路 管理 

网 络 逻 辑 链 路 的 测试 , 则 可 以 使 用 Windows 自 带 的 工具 进行 测试 。Windows 自 带 的 
工具 包括 IP 网 络 连通 性 测试 工具 (Ping) .路径 信息 提示 工具 (Pathping) 和 测试 网 络 路 由 路 
径 工具 (Tracert) 。 


1.4.5 网 络 安全 管理 规划 


当前 计算 机 网 络 是 充满 恶意 攻击 者 的 网 络 ,恶意 软件 使 用 与 E-mail .文件 传输 、Web 访 
问 和 实时 合作 之 间 的 无 颖 通信 相同 的 计算 机 网 络 技术 ,进而 针对 计算 机 弱点 进行 攻击 。 
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1. 网 络 设备 安全 

正如 1.2 节 所 述 , 网 络 设备 是 网 络 的 中 枢 神 经 ,保证 网 络 设备 的 安全 也 是 保证 网 络 安全 
的 重要 组 成 部 分 。 通 常情 况 下 ,网 络 设备 的 安全 需要 通过 设备 的 配置 完成 ,例如 配置 交换 机 
的 保护 端口 ` 流 控制 ,在 路 由 器 上 配置 IP 访问 列表 、MAC 访问 列表 等 。 

2. 网 络 安全 设备 

随 着 用 户 信息 安全 意识 的 逐渐 加 强 , 安 全 设备 也 越 来 越 受到 人 们 的 重视 ,不 过 ,简单 的 
防火 墙 已 难以 满足 基本 安全 防御 需求 。 网 络 安全 设备 的 目的 并 不 是 用 来 挽救 或 保护 已 经 受 
到 入 侵 的 用 户 , 而 是 防 患 于 未 然 , 最 大 限度 地 避免 可 能 发 生 的 安全 侵害 。 常 用 的 Cisco 安全 
设备 包括 网 络 防火 墙 \, 人 侵 检测 系统 和 入 侵 防 御 系 统 , 这 些 设 备 分 布 在 网 络 中 的 不 同位 置 ， 
可 以 为 整个 网 络 或 重点 对 象 提供 更 可 靠 的 保护 。 

3. 客户 端 安全 

对 网 络 客户 端 进行 必要 的 甚至 是 严格 的 安全 控制 和 管理 是 保障 网 络 正常 高效、 安全 运 
行 的 重要 措施 。 在 局 域 网 环境 中 ,普通 客户 端 计 算 机 的 安全 设置 包括 锁定 计算 机 、 设 置 高 强 
度 密 码 ,配置 Windows 防火 墙 和 启用 系统 更 新 等 内 容 。 


1.4.6 客户 端 管 理 规划 


客户 端 是 用 户 使 用 网 络 的 基础 ,只 有 在 保证 客户 端正 常 运行 的 前 提 下 ,用 户 才能 更 高 效 
地 完成 日 常 工作 。 为 了 保证 客户 端的 安全 ,可 以 从 以 下 几 方 面 内 容 进行 操作 。 

1. 系统 更 新 管理 

Windows 系统 漏洞 可 谓 屡 见 不 鲜 .层出不穷 ,而 且 其 危险 性 和 危害 性 也 是 越 来 越 大 。 
因此 ,及 时 更 新 系统 补丁 .修补 系统 漏洞 ,保证 Windows 系统 安全 ,就 成 为 网 络 管理 人 员 的 
当务之急 。 

2. 网 络 接 入 管理 

接 入 网 络 的 方式 包括 有 线 接 入 和 无 线 接 入 ,使 用 有 线 接 入 方式 ,即使 用 双 绞 线 或 光纤 ， 
直接 将 线 缆 的 两 端 分 别 接 入 交换 机 和 客户 端的 网 卡 即 可 。 而 对 于 无 线 网 络 接 入 方式 , 则 因 
所 用 的 无 线 网 卡 不 同 ,配置 方法 也 有 所 不 同 , 通 常 可 使 用 Windows 配置 程序 和 所 使 用 无 线 
网 卡 提供 的 配置 程序 进行 配置 。 

3, 组 策略 管理 

组 策略 (Group Policy,GP) 是 系统 管理 员 为 计算 机 和 用 户 定义 的 ,用 来 控制 应 用 程序 、 
系统 设置 和 管理 模板 的 一 种 机 制 。 在 当前 网 络 中 ,首先 ,可 以 通过 组 策略 定制 客户 端的 用 户 
环境 ,从 而 使 所 配置 的 用 户 使 用 相同 的 用 户 环境 。 其 次 ,通过 配置 组 策略 ,限制 客户 端 计算 
机 所 使 用 的 硬件 。 另 外 ,使 用 组 策略 还 可 以 在 客户 端 计算 机 上 部 署 软件 ,从 而 减少 管理 员 为 
客户 端 安装 软件 的 工作 。 


1.4.7 故障 管理 规划 


发 生 故障 的 概率 虽然 可 以 通过 管理 员 在 日 常 工作 中 降低 , 却 不 能 完全 防止 故障 的 发 生 。 
因此 ,如 何在 故障 发 生 时 及 时 发 现 故 障 并 解决 故障 才 是 故障 管理 中 的 重点 。 
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1. 系统 故障 诊断 与 排除 

Windows Server Backup 是 Windows Server 2008 的 备份 与 恢复 组 件 。 备 份 与 恢复 是 
保证 信息 系统 安全 可 靠 不 可 或 缺 的 基础 。 对 信息 系统 来 说 ,可 靠 性 和 可 用 性 是 最 基本 的 要 
求 。 另 外 , Windows Server Backup 支持 图 形 模式 和 命令 行 模式 ,对 于 域 控制 器 的 备份 而 
言 , 既 可 以 支持 域 控制 器 完整 备份 ,同时 也 可 以 支持 组 件 备份 。 

2. 网 络 设备 故障 的 诊断 与 排除 

网 络 故障 是 一 件 令 人 头痛 而 又 不 得 不 面 对 的 难题 。 对 于 局 域 网 络 而 言 , 网 络 故障 大 致 
可 以 分 为 4 类 , 即 链 路 故障 ,配置 故障 .协议 故障 和 服务 器 故障 。 链 路 故障 通常 是 由 于 接 插 
件 松动 或 设备 硬件 损坏 所 致 ,而 其 他 故障 则 往往 由 人 为 的 设置 所 致 。 
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Windows Server 2008 是 微软 推出 的 强大 、 安 全 、 易 用 的 网 络 操作 系统 。 不 仅 继承 了 
Windows Server 2003 的 安全 性 、 可 管理 性 和 可 靠 性 ,而 且 还 融合 了 易 用 性 、 人 性 化 、 智 能 
化 ,并 在 此 基础 上 提供 了 更 丰富 的 功能 和 更 稳定 的 内 核 ,非常 适合 于 中 小 型 网 络 中 的 各 种 网 
络 服务 ,尤其 适合 那些 没有 经 过 专业 培训 的 非 专业 管理 人 员 使 用 。 


2.1 Windows 系统 管理 规划 


Windows 系统 是 实现 所 有 功能 的 基础 ,无 论 是 网 络 功能 还 是 本 地 功能 ,这 也 是 为 什么 
必须 保证 Windows 系统 正常 工作 的 原因 。 


2.1.1 项 目 背 景 


在 当前 网 络 中 ,几乎 所 有 计算 机 使 用 的 操作 系统 均 为 Windows 操作 系统 ,其 中 服务 器 
主要 使 用 两 种 操作 系统 ,分别 为 Windows Server 2003 和 Windows Server 2008。 为 使 网 络 
用 户 可 以 在 服务 器 上 存储 某 些 数据 ,所 有 服务 器 均 安装 有 多 块 硬盘 及 了 AID 卡 。 对 于 服务 
器 操作 系统 , 除 拥 有 多 个 系统 服务 外 ,还 包括 多 个 网 络 服务 ,因此 对 服务 器 服务 的 管理 不 仅 
要 管理 系统 服务 还 要 管理 网 络 服务 。 进 程 是 服务 器 当前 正在 计算 的 内 容 , 当 进程 过 多 时 ,会 
影响 服务 器 的 整体 性 能 ,因此 需要 关闭 不 必要 的 进程 。 


2.1.2 项 目 需求 


对 于 Windows 系统 管理 需要 完成 以 下 要 求 。 

(1) 在 网 络 中 , 除 专用 的 存储 设备 外 ,服务 器 通常 也 会 承担 部 分 数据 存储 任务 。 对 于 这 
些 数据 , 则 同样 需要 保证 其 安全 与 稳定 。 

(2) 默认 情况 下 安装 的 系统 服务 ,可 能 并 不 适用 于 当前 的 网 络 。 

(3) 对 于 网 络 服务 的 管理 ,在 当前 网 络 中 要 求实 现 统一 管理 的 目的 。 

(4) 每 一 个 服务 器 运行 的 程序 都 会 创建 一 个 或 多 个 进程 ,并 通过 这 些 进 程 实现 所 需 的 
功能 ,因此 ,对 进程 的 管理 在 系统 管理 过 程 中 也 是 不 可 或 缺 的 。 

(5) 对 于 某 些 特 定 的 任务 ,需要 在 特定 的 时 间 自 动 完 成 。 

(6) 用 户 和 组 管理 是 网 络 的 重要 组 成 部 分 ,需要 管理 员 严 格 管理 网 络 中 的 用 户 和 组 。 

(7) IP 地 址 和 网 络 连接 是 服务 器 连接 网 络 的 基础 ,正确 的 配置 是 确保 其 正常 接 人 网 络 
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的 基础 。 
(8) 对 于 服务 器 管理 而 言 ,通常 会 部 署 在 网 络 中 的 特定 位 置 。 
2.1.3 解决 方案 


针对 当前 项 目的 Windows 系统 管理 要 求 , 可 通过 如 下 方式 实现 。 

(1) 为 了 实现 服务 器 存储 的 安全 性 和 稳定 性 ,可 以 在 服务 器 安装 RAID 卡 , 使 用 RAID 
技术 来 实现 。 对 于 需要 在 服务 器 上 存储 数据 的 用 户 , 为 了 防止 用 户 无 休止 地 使 用 硬盘 空间 ， 
可 以 通过 设置 磁盘 配额 来 实现 。 

(2) 对 于 不 是 系统 所 必需 的 服务 ,通常 情况 下 需要 停止 其 运行 。 对 于 系统 服务 的 启动 
与 停止 可 以 通过 命令 行 和 MMSC 控制 台 这 两 种 方法 实现 。 

(3) 对 于 统一 管理 网 络 服务 的 要 求 , 可 以 通过 在 加 入 域 中 的 计算 机 上 使 用 MMSC 控制 
台 实 现 ,在 MMSC 控制 台 添加 多 个 想 要 管理 的 网 络 服务 管理 组 件 即 可 。 

(4) 对 进程 的 管理 主要 包括 查看 进程 并 将 无 用 的 进程 和 所 怀疑 的 非法 进程 结束 ,该 工 
作 可 以 通过 tasklist 和 taskkill 命令 实现 。 

(5) 当 在 网 络 中 需要 在 指定 时 间 完 成 特定 的 任务 时 ,可 以 通过 Windows 系统 提供 的 任 
务 计划 功能 实现 。 

(6) 用 户 和 组 的 管理 需要 根据 网 络 与 企业 的 实际 需求 进行 ,通常 情况 下 ,为 了 便于 管理 
需要 将 用 户 添 加 到 不 同 的 组 中 ,并 对 组 进行 权限 设置 。 

(7) 网 络 连接 的 管理 主要 是 服务 器 的 IP 地 址 管理 和 接 人 网 络 的 方式 管理 ,通常 情况 
下 ,服务 器 都 会 接 入 固定 的 网 络 中 ,并 使 用 固定 的 IP 地 址 信息 。 当 服务 器 使 用 拨号 方式 连 
接 网 络 时 , 则 还 应 创建 所 需 的 网 络 连 接 。 

(8) 对 于 服务 器 的 管理 不 会 每 次 均 要 实现 与 服务 器 的 面对面 管理 ,通常 可 采用 远程 管 
理 的 方式 实现 。 


2.2 磁盘 和 分 区 管理 


在 Windows 操作 系统 中 ,数据 都 保存 在 磁盘 中 ,并 以 分 区 或 卷 的 形式 作为 目录 结构 的 
顶级 。 另 外 ,为 了 提高 数据 的 读 取 速 度 和 保证 数据 的 安全 ,服务 器 磁盘 通常 还 会 使 用 RAID 
技术 ,针对 于 不 同 的 环境 要 求 所 使 用 的 RAID 类 型 也 有 所 不 同 。 


2.2.1 RAID 卡 管理 


一 般 情况 下 借助 RAID 控制 卡 实现 硬 RAID, 而 如 果 资 金 不 足 , 则 可 借助 操作 系统 来 实 
现 软 RAID。 这 里 以 Dell PowerEdge 2650 为 例 介绍 RAID 卡 的 设置 ,不 同 RAID 卡 的 设置 
方式 有 所 区 别 , 请 注意 查看 RAID 卡 的 使 用 手册 。 

(1) 打开 计算 机 电源 , 当 显 示 图 2-1 所 示 的 信息 时 , 按 Ctrl 十 M 键 ,进入 RAID 卡 设 置 
界面 。 

(2) 使 用 方向 键 ,依次 选择 Configure>Easy Configuration 选项 ,如 图 2-2 所 示 , 并 按 
Enter 键 , 实 现 RAID 卡 的 快速 配置 。 

注意 : 如 果 该 计算 机 以 前 配置 有 RAID, 那 么 ,在 配置 新 的 RAID 之 前 ,应 当先 使 用 
Clear Configuration 命令 删除 。RAID 删除 后 ,硬盘 中 保存 的 所 有 数据 将 全 部 丢失 。 
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Conf igure 


Management 

Conf igure New Configuration 
Initialize | View/Add Configuration 
Dbjects Clear Configuration 


le RAID Control ler BIOS 3.31 18, 2883 2 | 
| pe 三 i Format Specify Boot Drive 
Press <Ctrl><H> to jun Configuration Utility i 
Or press <Ctrl>CH> for WebBIOS 


图 2-1 提示 RAID 卡 设置 组 合 键 图 2-2 ”采用 Easy Configuration 方式 


(3) RAID 卡 搜 索 并 显示 该 计算 机 中 安装 的 所 有 硬盘 驱动 器 ,如 图 2-3 所 示 。 
(4) 使 用 方向 键 选 择 欲 添加 至 RAID 的 磁盘 ,然后 , 按 空格 键 选中 ,将 该 硬盘 添加 至 
RAID 阵列 ,如 图 2-4 所 示 。 


ARRAY SELECTION NEN 


oREADY DNLIN AG8-68, 


" READY * ONLIN he9-91 
» READY, *» ONLIN AG8-82 
" READY *» ONLIN M8-83 


" READY * ONLIN he8-B4 


图 2-3 显示 所 有 的 硬盘 驱动 器 图 2-4 选择 欲 添 加 至 RAID 的 磁盘 


注意 : 若 欲 设置 RAID 5, 为 了 最 大 限度 地 提高 磁盘 空间 利用 率 , 应 当 将 所 有 的 磁盘 者 
加 入 至 RAID。 若 欲 设 置 RAID 1, 则 需要 添加 两 块 硬盘 。 
(5) 按 Enter 键 ,显示 图 2-5 所 示 的 页 面 , 使 用 方向 键 移动 光标 选择 欲 配置 的 阵列 。 如 
果 只 使 用 了 一 个 通道 ,那么 ,应 当选 择 Span-1l 选项 。 
(6) 按 F10 键 , 显 示 图 2-6 所 示 的 页 面 , 选 择 欲 使 用 的 RAID 级 别 。 当 计算 机 安装 有 
3 块 以 上 硬盘 时 ,系统 默认 的 级 别 为 RAID 5。 
Logical Drives Configured 


ID RID S$ 4Stripes 。 StrpSz Drive-State 
9 2 lB 和 64KB 0PTIMAL 


ONLIN HB 
ONLIN HB6- 的 


.0gi Drive 


» ONLIN RO-B4 
Size = 279512MB 
Advanced Menu 


bie Accept 


图 2-5 选择 RAID 卡通 道 图 2-6 选择 RAID 5 级 别 
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当 服 务 器 只 安装 有 两 块 硬盘 时 , 则 默认 级 别 为 RAID 1, 如 图 2-7 所 示 。 

注意 : 车 要 设置 为 其 他 级 别 , 可 以 使 用 方向 键 使 RAID 一 选项 反 亮 显示 ,然后 进行 修改 。 

(7) 移动 光标 使 Accept 选项 反 亮 显 示 , 并 按 Enter 键 , 系统 提示 是 否 保存 设置 ,如 
图 2-8 所 示 。 移 动 光 标 使 YES 选项 反 亮 显示 并 按 Enter 键 , 即 可 完成 RAID 卡 的 设置 。 


Logical Drives Configured: 


LD RAID 


Size HStripes StrpSz Drive-State 
0 ?BMB 64K 


69878M PTIMAL 


onf igure- ve Conf iguration? 
Easy Configuration | 
New Conf iguration HO 

View/ Add Configuration 

Clear ogical Drives Configured 


ID RAID Size gStripes StrpSz Drive-State 
AID Level 5 279512MB 5 64KB OPTIMAL 
到 RAID 8 
Size = 69878MB 
Advanced Menu 
Accept 
Span = NO 


图 2-7 选择 RAID 1 级 别 图 2-8 保存 RAID 设置 


(8) 根据 系统 提示 ,重新 引导 计算 机 , 即 可 将 全 部 硬盘 视 为 一 块 硬盘 进行 管理 。 需 要 注 
意 的 是 ,设置 RAID 的 时 间 可 能 会 比较 长 ,根据 硬盘 容量 的 大 小 不 同 ,所 使 用 时 间 也 有 所 
不 同 。 

注意 : RAID 卡 的 设置 应 当 在 操作 系统 安装 之 前 进行 。 另 外 ,重新 设置 RAID 时 ,将 删 
除 所 有 硬盘 中 的 全 部 内 容 。 


2.2.2 Windows Server 2008 RAID 5 的 设置 


顾名思义 , 软 RAID 就 是 不 使 用 RAID 卡 , 而 是 通过 系统 软件 实现 RAID 技术 。 另 外 ， 
必须 在 多 磁盘 的 环境 下 才 可 以 实现 .实现 RAID 1 至 少 要 拥有 两 块 磁盘 ,实现 RAID 5 至 少 
要 拥有 3 块 磁盘 ,这 里 以 RAID 5 为 例 进行 介绍 。 

(1) 依次 选择 “开始 ”一 “管理 工具 ”一 “计算 机 管理 "命令 ,打开 “计算 机 管理 "窗口 ,依次 
展开 “系统 工具 ”一 “存储 ”一 “磁盘 管理 ”选项 ,显示 图 2-9 所 示 的 “磁盘 管理 "窗口 。 

(2) 右 击 “磁盘 1” 并 选择 快捷 菜单 中 的 “新 建 RAID-5 卷 ” 命 令 , 显示“ 欢迎 使 用 新 建 
RAID-5 卷 向 导 ” 对 话 框 。 

(3) 单 击 “ 下 一 步 "按钮 ,显示 图 2-10 所 示 的 “选择 磁盘 "对话 框 ,在 这 里 可 以 选择 磁盘 
并 为 此 卷 设置 磁盘 大 小 。 在 “可 用 ”磁盘 列表 中 选中 要 使 用 的 磁盘 , 单 击 “ 添 加 ”按钮 将 其 添 
加 到 “已 选 的 ”磁盘 列表 中 。 

(4) 单 击 “ 下 一 步 " 按 钮 ,显示 图 2-11 所 示 的 “分 配 驱 动 器 号 和 路 径 ” 对 话 框 ,选中 “分 配 
以 下 驱动 器 号 ” 单 选 按钮 ,为 该 RAID 5 卷 指 派 驱 动 器 号 。 

(5) 单 击 “ 下 一 步 " 按 钮 ,显示 图 2-12 所 示 的 “ 卷 区 格式 化 ”对话 框 。 要 在 卷 区 上 存储 数 
据 , 必 须 先 将 其 格式 化 。 选 中 “ 按 下 列 设置 格式 化 这 个 卷 " 单 选 按 钮 ,并 采用 默认 的 NTFS 
文件 系统 和 分 配 单位 大 小 。 为 了 便于 区 分 和 管理 ,还 可 以 在 “ 卷 标 " 文 本 框 中 为 该 RAID 5 
卷 指定 一 个 卷 标 名 ,也 可 以 保持 为 空 。 
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jm 6) 重音 基本 WF 。。 状 恋 良 好 入 分区) 


_ 革 
加 有 服务 和 应 肌 程 序 


图 2-9 “磁盘 管理 "窗口 


欢迎 使 用 新 建 RAID-5 郑 向 导 
ET 


Lxl| 
CP 


分 要 本 动 器 号 和 站 色 
为 了 便于 记 可 ， 信 可 以 纵 知 分 辽 一 个 红 动 号 下 外 动因 路 征 。 
全 末 以 认为 此 全 让 委 大 小 - 


© WRT pp 可 
个 装 入 以 下 空白 mrs 文件 天 中 全) 


可 EE 
ms | wy 
| 下 不作 本 动 有 类 动 位 
at | 
7 


者 大 小 己 雪 10) 
my 最 大 可 用 空间 里 op) 
ER on) Fr 本 
El mm to mw | 
图 2-10 “选择 磁盘 "对 话 框 图 2-11 “分 配 驱 动 器 号 和 路 径 "对 话 框 


(6) 单 击 “下 一 步 ? 按 钮 ,显示 * 正 在 完成 新 建 RAID-5 卷 向 导 ” 对 话 框 ,在 “您 已 选择 下 
列 设置 ?列表 框 中 核对 信息 ,如 不 正确 单 击 * 上 一 步 ?按钮 ,可 重新 进行 设置 。 

(7) 单 击 “ 完 成 ”按钮 ,显示 图 2-13 所 示 的 “磁盘 管理 ”对 话 框 。 提 示 用 户 创建 RAID 过 
程 中 ,所 选 磁盘 将 自动 转换 为 动态 磁盘 ,同时 该 磁盘 上 原 有 的 操作 系统 也 将 丢失 。 


EEC > 


格式 化 | 
RE @ te, otimes 人 正在 完成 新 建 RAID-5 卷 向 导 
选择 是 否 要 格式 化 这 个 痊 ! 如 果 要 稿 式 化 , 要 使 用 什么 设置 * 您 已经 筷 功 二 出 辣 导 * 


个 不 要 格式 化 这 个 卷 
Es dl 


分 举 元 大 小 划 。 。 | 医 0 而 EE 


MO mm 
三 执行 格式 
四 
| | 


图 2-12 “ 卷 区 格式 化 ”对话 框 图 2-13 “磁盘 管理 ”对 话 框 
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(8) 单 击 “ 是 "按钮 继续 创建 RAID 5 卷 ,完成 后 返回 “磁盘 管理 "窗口 ,新 创建 的 RAID 5 
卷 即 可 显示 在 列表 中 ,如 图 2-14 所 示 。 


文件 四， 所 作 内 。 坦 看 oO 帮助 00 
和 只 | 六 | 工 | 目 | 二 [四 X 针 芝 回 图 
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图 2-14 新 建 RAID-5 卷 完 成 


2.2.3 设置 磁盘 配额 


从 Windows 2000 Server 系统 开始 就 提供 了 卷 的 磁盘 配额 功能 。 在 Windows Server 
2008 系统 中 ,管理 员 同 样 可 以 使 用 该 功能 控制 用 户 对 磁盘 空间 的 占用 情况 。 磁 盘 配 额 是 以 
文件 所 有 权 为 基础 的 ,只 应 用 于 卷 , 且 不 受 卷 的 文件 夹 结构 及 物理 磁盘 上 的 布局 影响 。 由 于 
磁盘 配额 监视 个 人 用 户 卷 的 使 用 情况 ,因此 ,每 个 用 户 对 磁盘 空间 的 利用 都 不 会 影响 同一 卷 
上 其 他 用 户 的 磁盘 配额 。 

如 果 要 在 已 经 使 用 的 磁盘 中 启用 磁盘 配额 功能 , Windows Server 2008 将 计算 到 启动 
时 间 点 为 止 ,在 该 卷 中 复制 文件 .保存 文件 或 取得 文件 所 有 权 的 所 有 用 户 使 用 的 磁盘 空间 。 
根据 统计 结果 ,自动 为 每 个 用 户 设 置 配额 限度 和 警告 级 别 。 当 然 ,管理 员 可 以 为 某 个 或 多 个 
用 户 设 置 不 同 的 配额 或 禁用 配额 。 另 外 ,也 可 以 为 还 没有 在 卷 上 复制 文件 ,保存 文件 和 取得 
文件 所 有 权 的 用 户 设置 磁盘 配额 ,或 者 在 一 个 新 创建 的 卷 上 启用 磁盘 配额 功能 。 

使 用 磁盘 配额 的 过 程 中 , 需 注意 以 下 内 容 。 

(1) 驱动 器 的 文件 格式 必须 为 NTFS 文件 系统 格式 。 如 果 驱 动 器 的 磁盘 格式 为 
FAT32 文件 系统 ,可 以 使 用 Windows Server 2003/2008 提供 的 文件 系统 转换 工具 Convert 
进行 转换 。 

(2) 必须 以 管理 员 或 管理 员 组 成 员 的 身份 登录 到 Windows 系统 。 

1. 启动 磁盘 限额 

在 默认 的 情况 下 ,磁盘 配额 是 没有 启用 的 。 启 动 磁盘 配额 的 操作 步骤 如 下 。 

(1) 在 Windows 资源 管理 器 中 , 右 击 欲 启用 配额 功能 的 NTFS 卷 , 并 选择 快捷 菜单 中 
的 “属性 ”命令 ,打开 “本 地 磁盘 (C:) 属 性 ”对 话 框 ,选择 图 2-15 所 示 的 “配额 选项 卡 ,选中 
“启用 配额 管理 " 复 选 框 , 即 可 启用 磁盘 配额 管理 。 

选择 其 中 相应 的 各 个 选项 ,以 配置 系统 的 磁盘 配额 功能 。 
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中 选中 “拒绝 将 磁盘 空间 给 超过 配额 限制 的 用 户 " 复 选 框 ,超过 其 配额 限制 的 用 户 , 将 
收 到 来 自 Windows 的 “磁盘 空间 不 足 ” 的 错误 信息 ,并 且 在 没有 从 中 删除 和 移动 一 些 现存 文 


件 的 情况 下 ,无 法 将 额外 的 数据 写 和 人 卷 中 。 如 果 清 除 该 复 [2 
选 框 , 则 用 户 可 以 超过 其 配额 限制 使 用 磁盘 。 可 | 


@ 选中 “将 磁盘 空间 限制 为 " 单 选 按钮 ,并 输入 允许 卷 ” 世 十 seamemm 
的 新 用 户 使 用 的 磁盘 空间 量 , 以 及 在 将 事件 写 入 系统 日 志 ee 
前 已 经 使 用 的 磁盘 空间 量 。 网 络 管 理 员 可 以 在 “事件 查看 汪汪 
器 ”中 查看 这 些 事件 。 在 磁盘 空间 和 警告 级 别 中 可 以 使 用 。 ”39 一 
十 进 制 数值 ,从 下 拉 列 表 框 中 选择 适当 的 单位 (如 KB、MB、 
GB 等 )。 

@ 选中 “用 户 超出 配额 限制 时 记录 事件 ” 复 选 框 ,此 时 
如 果 启 用 配额 , 则 只 要 用 户 超过 其 配额 限制 ,事件 就 会 写 人 
到 本 地 计算 机 的 系统 日 志 中 。 管 理 员 可 以 用 * 事 件 查看 "| 
器 ", 通 过 筛选 磁盘 事件 类 型 来 查看 这 些 事件 。 默 认 情 况 图 215 “配额 "选项 卡 
下 ,配额 事件 每 小 时 都 会 被 写 人 本 地 计算 机 的 系统 日 志 中 。 

@ 选中 “用户 超过 警告 等 级 时 记录 事件 ” 复 选 框 ,此 时 如 果 启 用 配额 , 则 只 要 用 户 超过 
其 警告 级 别 ,事件 就 会 写 人 到 本 地 计算 机 的 系统 日 志 中 。 管 理 员 可 以 用 * 事 件 查看 器 ”, 通 过 
筛选 磁盘 事件 类 型 来 查看 这 些 事件 。 默 认 情况 下 ,配额 事件 每 小 时 都 会 被 写 入 本 地 计算 机 
的 系统 日 志 中 。 

(2) 单 击 * 确 定 "按钮 ,保存 所 做 设置 ,启用 磁盘 配额 完成 。 

启用 磁盘 配额 管理 后 ,所 有 的 用 户 都 使 用 磁盘 配额 启动 时 设置 的 默认 配额 限制 和 配额 
警告 级 别 。 使 用 配额 项 目 管理 可 以 为 每 一 个 用 户 设置 适合 的 磁盘 配额 ,对 用 户 的 磁盘 配额 
设置 进行 维护 ,并 且 可 以 记录 每 一 个 用 户 对 磁盘 空间 的 使 用 情况 。 

2. 为 特定 的 用 户 磁盘 配额 

若 想 让 某 一 个 用 户 使 用 更 多 的 空间 ,可 以 为 该 用 户 单独 制定 更 大 的 磁盘 配额 。 

(1) 在 “本 地 磁盘 (C:) 属 性 ”对 话 框 中 ,选择 “配额 "选项 卡 , 单 击 “ 配 额 项 ”按钮 ,显示 
图 2-16 所 示 的 “(C:) 的 配额 项 ”窗口 。 


兢 目 总 孝 1 个 ,已 造 1 个。 加 


图 2-16 “(C:) 的 配额 项 "窗口 
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(2) 选择 “配额 菜单 中 的 “新 建 配额 项 "命令 ,或 者 单 击 工具 栏 中 的 “新 建 配额 项 "按钮 ， 
显示 图 2-17 所 示 的 “选择 用 户 ” 对 话 框 。 在 “选择 此 对 象 类 型 "文本 框 中 显示 出 当前 的 对 象 
类 型 为 “用 户 ”, 可 采用 系统 的 默认 值 。 在 “输入 对 象 名 称 来 选择 "文本 框 中 ,输入 要 设置 配额 
的 用 户 名 称 。 单 击 “ 检 查 名 称 ” 按 钮 ,检查 输入 的 用 户 账户 是 否 存在 。 

(3) 单 击 “ 确 定 ” 按 钮 ,显示 图 2-18 所 示 的 “添加 新 配额 项 ”对 话 框 。 选 中 “将 磁盘 空间 
限制 为 ” 单 选 按钮 ,并 在 其 后 文本 框 中 为 该 用 户 设置 访问 磁盘 的 空间 。 


En 可 
RE RP niet 
查找 位 昨 亿 )- 设置 所 选用 户 936? 额 限制 
[et 本 机 % 国 员 . 
输入 对 单 名 种 来 选择 还 创 ) EE)- 
于 上 证 各 CY 
高 名 的) [本 取消 | 
图 2-17 “选择 用 户 " 对 话 框 图 2-18 “添加 新 配额 项 "对 话 框 


(4) 单 击 “ 确 定 ” 按 钮 ,保存 用 户 的 磁盘 配额 设置 ,返回 到 *(C:) 的 配额 项 "窗口 ,可 以 看 
到 新 创建 的 用 户 Administrator 配额 项 显示 在 列表 框 中 ,显示 如 图 2-19 所 示 。 


图 2-19 “(C:) 的 配额 项 ”窗口 


如 果 想 删除 指定 用 户 的 配额 项 ,可 选择 用 户 名 , 右 击 并 选择 快捷 菜单 中 的 “删除 ”命令 
即 可 。 


使 用 指定 配额 项 具有 以 下 几 个 优点 。 

(1) 登录 到 相同 计算 机 的 多 个 用 户 之 间 互 不 影响 。 

(2) 一 个 或 多 个 用 户 不 独占 公用 服务 器 上 的 磁盘 空间 。 

(3) 在 个 人 计算 机 的 共享 文件 夹 中 ,用 户 不 使 用 过 多 的 磁盘 空间 。 

3. 监控 每 个 用 户 的 磁盘 配额 使 用 情况 

当 为 用 户 设 置 好 磁盘 配额 以 后 ,除了 可 以 借助 “日 志 查看 器 "浏览 磁盘 占用 情况 外 ,在 
“(C:) 的 配额 项 "窗口 中 ,也 可 以 监视 每 个 用 户 的 磁盘 配额 使 用 情况 ,并 可 单独 设置 每 个 用 
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户 可 使 用 的 磁盘 空间 。 也 就 是 说 配额 项 的 主 界面 就 是 一 个 用 户 配额 监控 器 。 

若 欲 更 改 某 一 个 用 户 的 磁盘 配额 设置 ,可 右 击 该 用 户 , 选 择 快捷 菜单 中 的 “属性 命令， 
显示 图 2-20 所 示 的 配额 设置 对 话 框 , 可 以 更 改 用 户 的 磁盘 空 
间 限 制 及 警告 等 级 。 


2.2.4 知识 链接 : RAID 介绍 


1. RAID 级 别 及 适用 范围 

RAID(Redundant Array of Independent Disks, 独立 页 
余 磁盘 阵列 ) 是 磁盘 阵列 实现 技术 的 理论 标准 ,其 目的 在 于 减 
少 错误 ,提高 存储 系统 的 性 能 与 可 靠 度 。RAID 原理 是 利用 
数组 方式 作为 磁盘 组 ,配合 数据 分 散 排列 的 设计 ,提升 数据 的 ”一 Ce |] ww | ams|| 
安全 性 。 磁 盘 阵 列 主要 针对 硬盘 在 容量 及 速度 上 无 法 跟 上 ”图 2-20 配额 设置 对 话 框 
CPU 及 内 存 的 发 展 ,提出 改善 方法 。 

RAID 技术 划分 为 多 个 级 别 ,分 别 适 用 于 不 同 的 网 络 服务 和 环境 。 常 用 的 RAID 级 别 
包括 RAID 0、RAID 1、RAID 0 十 1 和 RAID 5。 需 要 注意 的 是 ,RAID 级 别 的 设置 只 是 为 了 
便于 彼此 之 间 的 区 分 ,并 非 高 级 别 就 一 定 比 低级 别 优 秀 。 不 同 级 别 的 RAID 各 有 不 同 的 优 
点 和 缺点 ,适用 于 充当 不 同 服务 的 存储 设备 。 

(1) RAID 0 

RAID 0 又 称 带 区 阵列 ,是 一 种 由 两 块 以 上 磁盘 实 
现 的 无 元 余 磁盘 阵列 。RAID 0 将 数据 分 割 存 储 到 多 
块 硬 盘 上 ,磁盘 读 写 时 负载 平均 分 配 到 多 块 硬盘 ,由 于 
多 块 硬 盘 均 可 同时 读 写 ,所 以 ,速度 得 以 显著 提升 。 
图 2-21 所 示 为 由 两 块 磁盘 组 成 的 RAID 0 ,数据 被 分 别 
存储 在 两 块 磁盘 上 。 
国人 AD 后 委 隆 列 由 于 数据 被 分 割 存储 到 多 块 硬盘 ,所 以 ,数据 的 完 

整 性 依赖 于 所 有 硬盘 数据 均 完 好 无 损 ,任何 一 块 硬盘 


损坏 ,都 会 导致 所 有 数据 的 丢失 。 

RAID 0 具有 以 下 优点 。 

@ 存 取 速 度 快 。 由 于 数据 块 保存 在 不 同 的 磁盘 上 ,数据 同时 在 多 个 硬盘 上 存 取 , 因 此 ， 
能 成 倍 地 提高 磁盘 的 性 能 和 吞吐 量 。RAID 的 总 存 取 速 率 几 乎 是 所 有 磁盘 存 取 速 率 的 总 
和 ,所 以 ,数据 存 取 性 能 非常 好 。 

@ 磁盘 利用 率 高 。 由 于 所 有 空间 都 可 以 用 来 保存 数据 ,提供 了 最 大 的 数据 容量 ,因此 ， 
存储 空间 利用 率 也 是 最 高 的 。 

@ 存储 成 本 低 。 由 于 所 有 硬盘 空间 都 存储 数据 :没有 任何 浪费 ,所 以 ,单位 数据 的 存储 
成 本 最 低 。 

RAID 0 具有 以 下 缺点 。 

a 不 提供 宛 余数 据 。RAID 0 系统 是 最 不 可 靠 的 ,只 要 有 一 块 硬盘 损坏 ,阵列 中 所 有 存 
储 的 数据 都 将 全 部 丢失 ,而 且 不 可 恢复 。 

@ 不 能 采用 热 备 份 技术 。 对 于 一 些 关键 服务 任务 (如 电子 商务 数据 库 ) 而 言 , 无 法 实 
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现 双 机 热 备份 ,无 疑 是 不 可 接受 的 。 

RAID 0 适用 于 不 需要 和 宛 余数 据 , 但 对 数据 存 取 速度 有 较 高 要 求 , 并 且 必 须 降 低 数据 存 
储 成 本 的 情况 ,例如 ,用 于 音频 和 视频 点 播 服 务 器 中 多 媒体 数据 的 存储 。 

(2) RAID 1 

RAID 1 又 称 镜像 阵列 ,是 一 种 由 两 块 磁盘 实现 
的 元 余 磁盘 阵列 。RAID 1 将 同样 的 数据 写 入 两 块 
硬盘 ,在 两 块 硬盘 上 存储 完全 相同 的 数据 ,两 块 硬盘 
互 为 镜像 盘 , 如 图 2-22 所 示 。 当 一 块 硬盘 中 的 数据 
受 损 或 磁盘 故障 时 , 另 一 块 硬盘 可 继续 工作 ,并 可 在 
更 换 硬盘 后 重新 创建 镜像 。 由 此 可 见 ,RAID 1 的 技 
术 重 点 是 最 大 限度 地 保证 系统 的 可 靠 性 和 可 修 图 2 22 了 AD4 梧 盘 阵 列 
复 性 。 

在 RAID 1 阵列 中 ,任何 一 块 磁盘 发 生 故 障 , 都 不 会 影响 到 系统 的 正常 运行 。 当 一 块 磁 
盘 失 效 时 ,系统 会 忽略 该 磁盘 , 转 而 使 用 剩余 的 镜像 盘 读 写 数 据 。 不 过 ,此 时 的 RAID 系统 
是 在 降级 模式 下 运行 。 也 就 是 说 ,虽然 保存 的 数据 仍然 可 以 继续 使 用 ,但 是 ,RAID 系统 将 
不 再 可 靠 。 如 果 剩 余 的 镜像 盘 也 出 现 问题 ,那么 ,整个 系统 就 会 崩溃 。 因 此 ,应 当 及 时 地 更 
换 损坏 的 硬盘 ,避免 出 现 新 的 问题 。 

更 换 新 盘 后 , 原 有 数据 将 被 复制 到 新 盘 中 , 称 为 同步 镜像 。 同 步 镜像 一 般 需 要 很 长 
时 间 , 当 磁盘 容量 较 大 时 更 是 如 此 。 在 同步 镜像 的 进行 过 程 中 ,尽管 外 界 对 数据 的 访问 
不 会 受到 影响 ,但 是 ,由 于 复制 数据 需要 占用 部 分 带宽 ,所 以 ,系统 的 性 能 还 是 会 有 所 
下 降 。 

RAID 1 具有 以 下 优点 。 

@ 数据 存储 安全 。 当 一 个 硬盘 损坏 时 , 另 一 个 镜像 盘 将 启用 ,不 存在 由 于 硬盘 损坏 而 
造成 的 数据 丢失 或 系统 中 断 。 

@ 读 取 速 率 较 高 。 由 于 数据 可 以 从 任何 一 个 硬盘 中 读 取 , 所 以 , 读 取 性 能 较 高 。 

RAID 1 具有 以 下 缺点 。 

J@ 写 入 速率 较 低 。RAID 1 不 能 提升 磁盘 性 能 ,两 块 硬盘 组 成 RAID 1 后 ,容量 等 于 小 
硬盘 的 容量 ,对 任何 一 个 磁盘 的 数据 写 人 都 会 被 复制 到 镜像 盘 中 。 

@ 存储 成 本 高 。 磁 盘 镜 像 肯定 会 提高 系统 成 本 ,因为 所 能 使 用 的 空间 只 是 所 有 磁盘 容 
量 总 和 的 一 半 。RAID 1 是 所 有 RAID 级 别 中 实现 成 本 最 高 的 一 种 ,尽管 如 此 ,许多 用 户 还 
是 选择 RAID 1 来 保存 那些 关键 性 的 重要 数据 。 

当 数 据 的 高 可 靠 性 和 系统 的 整体 性 能 比 硬件 成 本 更 重要 时 ,可 以 采用 RAID 1, 例 如 , 数 
据 库 服 务 器 、 文 件 服务 器 ,以 及 其 他 重要 的 服务 器 。 

(3) RAID 0+1 

RAID 0 十 1 是 由 4 块 磁盘 实现 的 元 余 磁盘 阵列 。RAID 0 十 1 综合 了 RAID 0 和 RAID 1 
的 特点 ,独立 磁盘 配置 成 RAID 0, 两 套 完整 的 RAID 0 互相 镜像 ,如 图 2-23 所 示 。 

RAID 0 十 1 具有 以 下 优点 。 

RAID 0 十 1 同时 集中 了 RAID 0 和 RAID 1 的 优点 , 既 具 有 出 色 的 读 写 性 能 ,又 具有 非 
常 高 的 安全 性 ,可 以 有 效 保 护 系 统 数 据 安全 。 
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图 2-23 RAID 0 十 1 磁盘 阵列 


RAID 0 十 1 的 缺点 如 下 。 
构建 RAID 0 十 1 阵列 的 成 本 投入 较 大 ,数据 空间 利用 率 较 低 ,阵列 存储 容量 只 有 磁盘 
总 容量 的 50% ,不 能 称 之 为 经 济 高 效 的 方案 。 
RAID 0 十 1 适用 于 既 有 大 量 数 据 需 要 存 取 ,同时 又 对 数据 安全 性 要 求 严格 的 领域 ,如 
银行 ,金融 、 商 业 超 市 .存储 库房 .各 种 档案 管理 等 。 
(4) RAID 5 
RAID 5 是 由 至 少 3 块 磁盘 实现 的 宛 余 磁盘 阵列 。 
RAID 5 将 数据 分 布 于 不 同 的 磁盘 上 ,并 在 所 有 磁盘 上 
交叉 地 存 取 数 据 及 奇偶 校 验 信息 ,如 图 2-24 所 示 。 如 果 
阵列 中 的 一 块 磁盘 失效 ,可 以 按 奇偶 校 验 码 重建 数据 ， 
不 会 导致 数据 的 丢失 ,并且 不 影响 数据 使 用 。 
RAID 5 具有 以 下 优点 。 
O@ 数据 存储 安全 。 当 RAID 5 阵列 中 的 磁盘 损坏 
图 2-24 RAID 5 磁盘 阵列 时 ,只 需 将 坏 硬盘 换 掉 ,RAID 控制 系统 即 可 根据 校 验 
位 ,在 新 盘 中 重建 坏 盘 上 的 数据 ,不 会 造成 数据 的 丢失 。 
同时 ,在 数据 重建 过 程 中 ,不 会 影响 用 户 的 使 用 ,不 会 造成 数据 或 系统 中 断 。 
@ 读 取 速 率 较 高 。RAID 5 不 单独 指定 奇偶 盘 , 读 / 写 指针 可 同时 对 阵列 设备 进行 操 
作 ,提供 了 更 高 的 数据 流量 ,更 适合 于 小 数据 块 和 随机 读 写 的 数据 。 
Q@ 磁盘 利用 率 较 高 。 在 RADI 5 阵列 中 ,只 有 相当 于 一 个 磁盘 的 容量 用 来 存储 宛 余数 
据 。 因 此 ,阵列 中 的 磁盘 数量 越 多 ,磁盘 的 利用 率 就 越 高 。 
RAID 5 具有 以 下 缺点 。 
写 人 速率 较 低 。RAID 5 有 “ 写 损 失 ”, 尤 其 是 写 许 多 的 小 文件 和 随机 数据 时 更 明显 。 
每 一 次 写 操作 将 产生 4 个 实际 的 读 / 写 操作 ,其 中 两 次 读 旧 的 数据 及 奇偶 信息 ,两 次 写 新 的 
数据 及 奇偶 信息 ,例如 ,要 改变 数据 块 1 控制 器 在 计算 校 验 块 1 一 4 之 前 ,必须 先 读 出 数据 块 
2 数据 块 3 和 数据 块 4, 当 计算 出 新 的 校 验 块 1~4 后 ,必须 同时 写 入 数据 块 1 和 校 验 块 1 一 4。 
在 成 本 可靠 性 和 性 能 都 同等 重要 时 ,可 以 采用 RAID 5。 事 实 上 ,RAID 5 被 广泛 应 用 
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于 各 种 类 型 的 服务 器 ,如 文件 服务 器 、 应 用 程序 服务 器 、 数 据 库 服务 器 、Web 服务 器 、E-mail 
服务 器 等 。 表 2-1 所 示 为 不 同等 级 RAID 的 特性 比较 。 


表 2-1 不 同 RAID 特性 


RAID 等 级 
RAID 0 RAID 1 RAIDS 
特性 
别名 条 带 异 像 分 布 奇 全 位 条 带 
容错 性 没有 有 有 
元 余 类 天 没有 复制 奇 俩 位 
热 各 盘 选 项 没有 有 前 
需要 的 磁盘 数 | ”一 个 或 多 不 内需 两 不 三 不 或 更 多 
二 二 
可 用 容量 总 的 磁盘 的 容量 。 | 只 能 用 磁盘 容量 的 50% 2 的 总 磁盘 容量 。 其 中 
2. RAID 卡 简介 


硬盘 的 损坏 不 仅 将 直接 导致 系统 瘫痪 和 网 络 服务 失败 ,而 且 还 将 导致 宝贵 的 存储 数据 
的 丢失 ,所 造成 的 损失 往往 是 难以 估量 的 。 为 了 提高 系统 的 稳定 性 和 数据 安全 性 ,服务 器 通 
常 采 用 RAID 卡 实现 磁盘 元 余 , 既 可 以 确保 系统 和 数据 的 安全 ,又 可 以 提高 读 取 速率 和 存储 
容量 。 目 前 ,网 络 服务 器 中 应 用 最 多 的 是 SCSI 型 RAID 卡 ,只 是 总 线 有 PCI-X 和 PCI-E 之 
分 。 以 下 为 几 种 不 同类 型 的 SCSI RAID 卡 。 

(1) SCSI 卡 十 Firmware 

部 分 Ultra320 SCSI 卡 提供 RAID 功能 ,尽管 只 支持 RAID 0、RAID 1 和 RAID 0 十 1， 
但 是 性 能 却 不 错 , 并 支持 RAID Array 引导 。 因 此 ,非常 适用 于 中 小 型 网 络 中 的 Web 服务 、 
E-mail 服务 和 数据 库 服 务 。 图 2-25 所 示 为 支持 RAID 功能 的 LSI Logic 单 通道 Ultra320 
SCSI 卡 LSI20320-R 。 

(2) 单 通道 SCSI RAID 

单 通道 SCSI RAID 作为 工作 组 级 服务 器 的 基本 配置 ,被 应 用 于 存储 容量 不 太 大 ,并 且 并 
发 访问 量 也 不 太 大 的 网 络 环境 。 图 2-26 所 示 为 单 通道 的 Adaptec SCSI RAID 2110S Board。 


圭一 


~ 
图 2-25 LSI Logic LSI20320-R 图 2-26 Adaptec SCSI RAID 2110S Board 


(3) 双 通 道 SCSI RAID 

双 通 道 SCSI RAID 作为 部 门 服务 器 的 标准 配置 ,可 支持 30 个 硬盘 。 双 通道 RAID 拥 
有 更 大 的 Cache 和 更 快 的 处 理 器 , 以 提高 读 写 速 率 和 性 能 。 图 2-27 所 示 为 双 通 道 的 
Adaptec SCSI RAID 2230SLP Board。 

(4) 零 通 道 SCSI RAID 

零 通 道 (Zero Channel RAID,ZCR)SCSI RAID 是 利用 主板 自身 的 SCSI 芯片 ,和 一 个 
小 型 RAID 卡 ( 带 处 理 器 ) 进 行 组 合 构成 的 SCSI RAID。 零 通道 RAID 卡 充 分 利用 了 板 载 
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的 SCSI 芯 片 ,从 而 以 最 低 的 成 本 ,实现 了 SCSI 卡 到 SCSIRAID 卡 的 升级 。 需 要 注意 的 是 ， 


零 通道 RAID 卡 必须 配合 新 一 代 SO-DIMM 升级 槽 ,或 者 有 特别 BIOS 的 主板 才 可 使 用 。 
图 2-28 所 示 为 零 通道 的 Adaptec 2020ZCR Zero Channel RAID。 


by 


、 


图 2-27 Adaptec SCSI RAID 2230SLP Board 图 2-28 Adaptec 2020ZCR Zero Channel RAID 


RAID 卡 的 主要 参数 包括 支持 的 RAID 类 型 .总 线 类 型 .传输 速率 ,以 及 通道 .可 连接 设 
备 ,高速 缓 存 . 内 部 接口 和 外 部 接口 的 数量 。 另 外 ,通过 调整 写 策略 (Write Policy). 读 策 
略 (Read Policy) 和 条 带 的 大 小 (Stripe Size) 等 参数 ,也 会 影响 RAID 卡 的 性 能 。 

提示 : SCSI RAID 卡 应 当 安 装 SCSI 接口 硬盘 ,而 SATA RAID 卡 则 应 当 连 接 SATA 
硬盘 。 另 外 ,RAID 卡 所 支持 的 标准 必须 与 硬盘 的 标准 一 致 ,并 且 硬 盘 必 须 选择 同一 厂商 和 
同一 型 号 的 产品 。 


2.3 系统 服务 管理 


通常 情况 下 保持 系统 默认 设置 即 可 满足 普通 用 户 的 日 常 所 需 , 同 时 也 不 会 导致 严重 的 
系统 错误 。 当 有 特殊 需要 必须 更 改 系统 服务 状态 时 ,也 可 以 谨慎 调整 。 需 要 注意 的 是 ,有 些 


依存 于 该 服务 ,操作 时 应 尽量 避免 “株连 ”。 
2.3.1 系统 服务 的 启用 /禁止 


系统 服务 的 状态 和 启动 类 型 是 完全 不 同 的 两 个 概念 。 服 务 状态 是 指 某 系统 服务 当前 的 
工作 状态 ,只 有 “已 启动 "和 空白 ( 即 关闭 ) 两 种 状态 。 启 动 类 型 则 是 前 面 介绍 的 跟随 系统 启 
动 而 自动 运行 或 者 必要 时 由 用 户 手动 启动 ,或 者 直接 被 禁用 等 。 用 户 可 以 通过 服务 控制 台 、 
管理 命令 或 者 第 三 方 管理 工具 来 实现 对 这 些 系 统 服务 的 灵活 管理 。 

1. 服务 管理 控制 台 

以 Administrators 组 成 员 身 份 登录 系统 ,依次 选择 “开始 ”一 "管理 工具 -一 服务 "命令 ， 
打开 “服务 ”管理 控制 台 ,如 图 2-29 所 示 。 在 “服务 ”窗口 可 以 查看 服务 名 称 .描述 信 息 、 服 务 
状态 .启动 方式 等 。 

双击 服务 可 打开 该 服务 的 属性 窗口 .例如 双击 打开 DHCP Client 服务 ,或 者 右 击 服务 
名 称 从 快捷 菜单 中 选择 “属性 ”命令 ,显示 图 2-30 所 示 的 “DHCP Client 的 属性 (本 地 计算 
机 )” 对 话 框 。 

在 “常规 ”选项 卡 的 “启动 类 型 "下拉 列表 框 中 可 以 设置 该 服务 的 启动 方式 。 如 果 想 停止 
某 个 服务 , 单 击 “ 停 止 ” 按 钮 即 可 ; 如 果 服 务 已 经 停止 , 单 击 “ 启 动 ”按钮 可 以 开启 该 服务 。 根 
据 不 同 的 服务 要 求 , 可 以 在 “启动 类 型 * 下 拉 列 表 框 中 选择 自动"“ 手 动 ” 或 “禁用 ”等 不 同 的 
启动 类 型 。 
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在 应 启程 序 启 . 已 启动 自动 本 地 系统 
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图 2-29 “服务 "管理 控制 台 


(1) 自动 : 服务 随 系统 启动 自动 运行 ,通常 用 于 系统 必需 服务 。 

(2) 手动 : 设置 为 “手动 ”类 型 的 系统 服务 ,用 户 可 以 根据 自己 的 需要 ,随时 “启动 "或 
“停止 "。 开 启 “ 禁 用 ”类 型 的 服务 时 ,必须 先 将 其 设置 为 “手动 "类 型 。 

(3) 禁用 : 默认 关闭 的 系统 服务 。 

注意 : 调整 完 服务 的 开启 状态 后 ,建议 重新 启动 计算 机 后 应 用 。 每 一 次 不 要 停止 太 多 
的 服务 ,这 是 因为 由 于 不 知道 哪个 服务 会 发 生 问题 ,从 而 导致 系统 无 法 恢复 。 

如 果 不 确定 停止 某 个 服务 是 否 安全 ,建议 采用 手动 模式 。 手 动 模 式 允 许 当 系统 需要 某 
个 服务 时 ,由 系统 管理 员 去 开启 该 服务 ,而 不 是 在 启动 的 时 候 就 开启 。 

若 欲 指定 服务 登录 时 使 用 的 用 户 账户 ,选择 "登录 ?选项 卡 , 如 图 2-31 所 示 , 可 以 为 服务 
账户 设置 不 同 的 登录 身份 。 


的 民 性 本 地 计 革 机) 划 
| 1 fr 关系 | 
服务 名 入 I DPA: 
蜡 示 名 入 0D。 ic? Cient 个 万 地 系 坟 朵 户 员 ) 
WD: s 加 厂区 六 于 部 与 而 页 RD 
5 RD Fa [aa 
enc 让 3m /6688686966861 
ee A 中 2 A 
习 助攻 本 震 用 户外 户 法 这 项 。 
念 可 局 用 或 禁用 以 下 所 的 3 祯 件 可 轩 文 件 了 务 人 ) 
Nats Bu Ee ES 
Ed 仿 止 全) 天 ED EE 
当 从 此 处 启动 肝 务 时 ， 六 可 撕 定 所 适用 的 启动 拓 数 。 
Ae 人 E17) |_ Mo 
CE] ww | esw | -上 | mW |_ enw | 
图 2-30 服务 的 启动 类 型 图 2-31 “登录 ”选项 卡 


首先 ,在 “登录 身份 "选项 区 域 中 选择 适用 于 此 服务 的 用 户 账户 类 型 。 若 要 指定 服务 使 
用 Local System( 本 地 系统 ) 账 户 , 可 以 选中 “本 地 系统 账户 " 单 选 按 钮 。 若 要 指定 服务 使 用 
Network Service( 网 络 服务 ) 账 户 ,可 以 选中 “此 账户 ” 单 选 按 钮 ,然后 在 账户 文本 框 中 输入 
可 以 启动 此 服务 的 账户 ,例如 czc@coolpen. net。 要 指定 另 一 个 账户 , 单 击 * 浏 览 "按钮 , 然 
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后 在 “选择 用 户 ” 对 话 框 中 指定 用 户 账户 。 完 成 操作 后 , 单 击 “ 确 定 ” 按 钮 。 

在 “密码 ”和 “确认 密码 "文本 框 中 输入 网 络 用 户 账户 的 密码 ,然后 单 击 “ 确 定 ” 按 钮 。 如 
果 选 择 Local System 或 Network Service 账户 ,那么 密码 必须 为 空 。 

注意 : 更 改 默认 服务 设置 可 能 会 导致 关键 的 服务 无 法 正常 运行 ,因此 ,如 果 服 务 已 配置 
为 “自动 启动 ”, 则 在 更 改 “ 启 动 类 型 ”和 "登录 为 "时 一 定 要 非常 小 心 。 

在 大 多 数 情况 下 ,建议 不 要 更 改 “ 人 允许 服务 与 桌面 交互 设置。 如 果 人 允许 服务 与 桌面 交 
互 , 则 服务 在 桌面 上 显示 的 任何 信息 也 都 会 显示 在 交互 用 户 的 桌面 上 。 恶 意 用 户 可 能 会 获 
得 对 该 服务 的 控制 权 ,或 从 交互 桌面 攻击 它 。 

如 果 由 于 启用 或 禁用 某 项 服务 导致 系统 启动 时 发 生 故 障 问题 , 则 可 以 在 “安全 模式 ”下 
启动 。 这 样 ,只 启动 必需 的 核心 服务 ,而 加 载 服务 设置 的 任何 更 改 。 计 算 机 进入 “安全 模式 ” 
后 ,可 以 更 改 服务 配置 或 还 原 默 认 的 配置 。 

2. 通过 硬件 配置 文件 配置 相应 服务 

对 于 新 安装 的 服务 ,可 能 需要 设置 硬件 配置 文件 来 测试 ,例如 ,可 以 为 刚 安装 的 服务 创 
建 两 个 硬件 配置 文件 : 该 服务 在 一 个 配置 文件 中 是 启用 的 ,而 在 另 一 个 配置 文件 中 是 禁用 
的 。 这 样 ,就 可 以 解决 任何 可 能 发 生 的 问题 (例如 驱动 程序 未 正确 加 载 )。 


sm | 首先 打开 “服务 ”控制 台 , 右 击 服务 列表 中 的 服 
la bd 务 ( 仍 以 DHCP Client 服务 为 例 ), 选择 快 捷 菜 单 中 的 
PNR “属性 ”命令 ,打开 *DHCP Client 的 属性 (本 地 计算 机 )” 
| 对 话 框 ,选择 “登录 ”选项 卡 ,如 图 2-32 所 示 。 

EH 其 次 在 “硬件 配置 文件 "列表 框 中 ,选择 要 配置 的 文 
Per 件 , 然 后 单 击 "启用 ”或 “禁用 ”按钮 即 可 。 


Pet 上 注意 ; 更 改 默 认 服务 设置 可 能 导致 密 铀 服务 无 法 正 
确 运行 。 更改 已 配置 为 自动 启动 的 服务 的 “启动 类 型 ” 


= 和 “登录 身份 ”设置 时 ,谨慎 使 用 。 
EE 3. 使 用 命令 开启 和 停止 服务 
图 2-32 “登录 "选项 卡 对 于 已 经 被 设置 为 手动 ”启动 类 型 ,但 处 于 “未 启 
动 "状态 的 系统 服务 还 可 以 通过 专用 命令 来 启动 或 停止 
服务 。net start 和 net stop 分 别 用 于 启动 和 停止 指定 系统 服务 。 
(1) net start 
net start 命令 用 于 启动 一 项 服务 ,也 可 以 直接 使 用 不 带 任何 参数 的 net start 命令 查看 当前 
已 经 启动 的 服务 ,例如 直接 在 命令 提示 符 窗口 中 输入 net start 并 执行 , 即 可 显示 图 2-33 所 示 
的 结果 。 
net start 命令 的 基本 语法 格式 为 : net start [service], 其 中 ,service 表示 启动 指定 的 服 
务 。 例 如 想 要 启动 messenger 服务 ,可 以 在 命令 提示 符 窗口 中 输入 net start server 并 执行 ， 
成 功 完 成 后 会 显示 图 2-34 所 示 的 界面 。 需 要 注意 的 是 ,服务 和 应 用 程序 的 设置 可 能 根据 安 
装 或 配置 过 程 中 所 做 的 选项 设置 而 变化 。 
注意 : 如 果 服 务 名 包含 空格 ,必须 用 引号 标 出 ,如 “routing and remote access” 等 。 
(2) net stop 
net stop 命令 用 于 停止 正在 运行 的 服务 。 基 本 语法 格式 为 : net stop service, 其 中 
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启动 以 下 Windews 服务 : 


fctive Directory Donain Services 
Application Experience 
Background Intelligent Transfer Service 
Base Filtering Engine 


Desktop Window Manager Session Manager 

DPS Nanespace 

DFS Replication 

DHCP Client 

Diagnostic Policy Service 

Diagnostic System Host 

Distributed Transaction Coordinator 

DNS Client 

DNS Server 

Group Policy Client 

ITXE and AuthIP IPsec Keying Modules 
rsite Messaging 


Kerberos Key Distribution Center 


图 2-33 显示 正在 运行 的 服务 


service 表示 要 停止 的 服务 。 例 如 ,要 停止 正在 运行 的 DHCP Client 服务 ,就 可 以 在 命令 提 
示 符 窗口 中 输入 net stop server 并 执行 ,成功 完 成 后 会 显示 图 2-35 所 示 的 界面 。 


or)net start server 


成 功 。 


:eers Adninistrator) 


图 2-34 启动 messenger 服务 图 2-35 停止 服务 


提示 : 停止 “服务 器 "服务 可 以 阻止 用 户 访问 计算 机 的 共享 资源 。 如 果 用 户 使 用 服务 器 
资源 时 停止 “服务 器 ”服务 , 则 会 出 现 警 告 消息 。y( 代 表 yes) 响 应 将 取消 与 该 计算 机 的 所 有 
连接 。 

4. 常用 的 Windows 服务 

Windows 操作 系统 中 ,包含 了 大 量 的 服务 , 表 2-2 中 列 出 了 常用 的 Windows 服务 ,并 对 
对 应 服务 .应 用 程序 关联 、 在 操作 系统 中 是 否 需要 ,以 及 人 到 全 了 简要 的 描述 , 希 
望 用 户 可 以 根据 服务 方面 的 安全 建议 ,加 强 计算 机 系统 的 安 

表 2-2 常用 的 Windows 服务 


服务 名 称 描 述 应 用 程序 ”| 功能 需求 | 启动 类 型 


当 系统 发 生 故 障 时 向 管理 员 发 送 错误 警 
Alerter 报 。 通 知 所 选用 户 和 计算 机 有 关 


级 警报 


svchost exe | 不 需要 禁用 


给 予 第 :者 网 络 防火 墙 支持 的 服务 ， 
有 些 防 火 墙 /网 络 共享 软件 需要 。 占 用 | alg. exe 可 选 手动 
1.5MB 内 存 


Application Layer 


Gateway Service 


. msi 文件 格式 的 
效 服 务 并 无 大 碍 


Application 


svchost exe | 需要 手动 


Management 
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续 表 
服务 名 称 描 述 应 用 程序 “| 功能 需求 | 启动 类 型 
i 在 后 台 传 输 客户 端 和 服务 器 之 间 的 数据 。 
Se Tntcligent | 如 果 禁 用 了 BITS, 一 些 功能 (如 Windows | svchost exe | 不 需要 | 禁用 
人 Update) 就 无 法 正常 运行 
基本 筛选 引擎 (BFE) 是 一 种 管理 防火 墙 和 
Base Filterin Internet 协议 安全 (IPsec) 策 略 以 及 实施 用 
En i 户 模式 筛选 的 服务 。 停 止 或 禁用 BFE 服务 | svchost exe | 需要 自动 
将 大 大 降低 系统 的 安全 。 还 将 造成 IPsec 管 
理 和 防火 墙 应 用 程序 产生 不 可 预知 的 行为 
用 “剪贴 德 查看 器 "储存 信息 并 与 远程 计算 
a 机 共享 。 如 果 此 服务 终止 ,剪贴 簿 查看 器 ”| ,，_ gi 
ClipBook 将 无 法 与 远程 计算 机 共享 信息 。 如 果 此 服 clipsrv. exe 不 需要 禁用 
务 被 禁用 ,任何 依赖 它 的 服务 将 无 法 启动 
支持 系统 事件 通知 服务 (SENS) ,此 服务 为 
订阅 组 件 对 象 模型 (COM) 组 件 事件 提供 自 
COM+ Event 动 分 布 功能 。 如 果 停 止 此 服务 ,SENS 将 关 | host cx。 | 不 需要 | 手动 
System 闭 , 而 且 不 能 提供 登录 和 注销 通知 。 如 果 | A 
禁用 此 服务 , 显 式 依赖 此 服务 的 其 他 服务 
将 无 法 启动 
管理 基于 COM 十 组 件 的 配置 和 跟踪 。 如 
COM 十 System 果 服 务 停止 ,大 多 数 基于 COM 十 组 件 将 不 时 
li 能 正常 工作 。 如 果 本 服务 被 禁用 ,任何 明 | qunost exe | 不 需要 | 手动 
确 依赖 它 的 服务 都 将 不 能 启动 
维护 网 络 上 计算 机 的 更 新 列表 ,并 将 列表 
提供 给 计算 机 指定 浏览 。 如 果 服 务 停止 ， 
Computer Browser 列表 不 会 被 更 新 或 维护 。 如 果 服 务 被 禁 | svchost exe 可 选 自动 
用 ,任何 直接 依赖 于 此 服务 的 服务 将 无 法 
启动 
提供 3 种 管理 服务 : 编 录 数据 库 服 务 , 它 确 
定 Windows 文件 的 签字 ; 受 保护 的 根 服 
tt 务 ,从 此 计算 机 添加 和 删除 受信 根 证 书 机 
Suc Wiudows | 构 的 证 书 ; 密 钥 (Key) 服 务 , 它 帮 助 注册 此 | svehost exe | 可 选 自动 
| 计算 机 获取 证 书 。 如 果 此 服务 被 终止 ,这 
些 管理 服务 将 无 法 正常 运行 。 如 果 此 服务 
被 禁用 ,任何 依赖 它 的 服务 将 无 法 启动 
POO Soyer 为 DCOM 服务 提供 加 载 功能 svchost exe | 可 先 自动 
Process Launcher 
Desktop Window 
Manager Session 提供 桌面 窗口 管理 器 启动 和 维护 服务 svchost. exe | 可 选 自动 
Manager 
DHCP Cie | 天 天 和 下 让 地 站 及 DNS 有 称 末 | whosc cxe | 末 过 “| 自动 
用 于 局 域 网 更 新 连接 信息 ,比如 在 计算 
Distributed Link 机 A 有 个 文件 ,在 计算 机 B 做 了 连接 ,如 果 | svchost exe | 不 需要 手动 


Tracking Client 


文件 移动 了 ,这 个 服务 将 会 更 新 信息 。 占 
用 4MB 内 存 
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续 表 
服务 名 称 描 述 应 用 程序 “| 功能 需求 | 启动 类 型 
协调 跨 多 个 数据 库 .消息 队 列 .文件 系统 等 
Distributed 
Transaction 资源 管理 器 的 事务 。 如 果 停止 此 服务 ' 则 msdtc. €xe 不 需要 手动 
a 不 会 发 生 这 些 事务 。 如 果 禁 用 此 服务 , 显 I 
式 依赖 此 服务 的 其 他 服务 将 无 法 启动 
为 此 计算 机 解析 和 缓冲 域名 系统 (DNS) 名 
称 。 如 果 此 服务 被 停止 ,计算 机 将 不 能 解 
DNS Client 析 DNS 名 称 并 定位 Active Directory 域 控 | svchost exe | 不 需要 自动 
制 器 。 如 果 此 服务 被 禁用 ,任何 明确 依赖 
它 的 服务 将 不 能 启动 
E R i 服务 和 应 用 E 非 标准 环境 下 运行 时 人 允 < 
ee eporting 人 EE 标准 环境 下 运行 时 允 | svchost exe 永 不 禁用 
启用 在 事件 查看 器 查看 基于 Windows 的 程 
Event Log 序 和 组 件 颁 发 的 事件 日 志 消 息 。 无 法 终止 | services. exe | 需要 自动 
此 服务 
Fast User Switching| 多 用 户 快速 切换 服务 svchost exe | 不 需要 | 手动 
Compatibility 
Fax Service 传真 服务 。 需 要 单独 安装 fxssvc.exe ”| 没有 安装 | 没有 安装 
SO DE | 发 布 FTP 服务 ,需要 单独 安装 inetinfo exe | 没有 安装 | 没有 安装 
启用 在 此 计算 机 上 运行 帮助 和 支持 中 心 。 
Help and Support eT dy gh svchost exe | 不 需要 ”| 没有 安装 
服务 将 无 法 启动 
JS Admin 本 机 JIS 服务 管理 服务 。 需 要 单独 安装 inetinfo. exe | 没有 安装 | 没有 安装 
为 本 地 硬盘 或 共享 网 络 驱 动 器 的 文档 内 容 
Indexing Service 和 属性 建立 索引 的 索引 服务 ,超级 占用 系 | cisve. exe 永 不 禁用 
统 资 源 , 建 议 禁 止 
Internet Connection | Windows XP 系统 的 防火 墙 .为 多 台 计 算 机 
Firewall/Internet 联网 共享 一 个 拨号 网 络 访问 Internet 提供 | svchost exe | 可 选 自动 
Connection Sharing | 服务 
IPSEC Services i 号 | 和 不 需要 ”| 禁用 
监测 和 监视 新 硬盘 驱动 器 并 向 逻辑 磁盘 管 
理 器 管理 服务 发 送 卷 的 信息 以 便 配 置 。 如 
Logical Disk Manager | 果 此 服务 被 终止 ,动态 磁盘 状态 和 配置 信 | svchost exe | 可 选 手动 
息 会 过 时 。 如 果 此 服务 被 禁用 ,任何 依赖 
它 的 服务 将 无 法 启动 
Logical Disk Manager | 配置 硬盘 驱动 器 和 卷 。 此 服务 只 为 配置 处 上 
Administrative Service | 理 运行 ,然后 终止 Wd a 手动 
Message Queuing 消息 队列 。 需 要 另外 安装 mqsvc. exe ”| 没有 安装 | 没有 安装 
消息 队列 开关 。 需 要 另外 安装 mqtgsve. exe | 没有 安装 | 没有 安装 


Queuing Triggers 
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服务 名 称 


描 述 


应 用 程序 


功能 需求 


启动 类 型 


Messenger 


传输 客户 端 和 服务 器 之 间 的 NET SEND 
和 Alerter 服务 消息 。 此 服务 与 Windows 
Messenger 无 关 。 如 果 服 务 停 止 , Alerter 
消息 不 会 被 传输 。 如 果 服 务 被 禁用 ,任何 
直接 依赖 于 此 服务 的 服务 将 无 法 启动 


services. exe 


不 需要 


MS Software Shadow 
Copy Provider 


如 果 该 服务 被 停止 ,软件 卷 影 复制 将 无 法 
管理 。 如 果 该 服务 被 停 用 ,任何 依赖 它 的 
服务 将 无 法 启动 


dllhost. exe 


不 需要 


Net Login 


登录 域 控制 器 验证 登录 信息 的 服务 ,支持 
网 络 上 计算 机 pass-through 账户 登录 身份 
验证 事件 


lsass. exe 


不 需要 


NetMeeting Remote 
Desktop Sharing 


用 NetMeeting 实现 远程 桌面 共享 的 服务 。 
使 授权 用 户 能 够 通过 使 用 NetMeeting 跨 企 
业 Intranet 远程 访问 此 计算 机 。 如 果 此 服务 
被 停 用 ,远程 桌面 服务 将 不 可 用 。 如 果 此 服 
务 被 禁用 ,任何 依赖 它 的 服务 将 无 法 启动 


mnmsrvc. exe 


永 不 


Network Connections 


网 络 连接 服务 ,管理 网 络 和 拨号 网 络 , 上 网 
和 局 域 网 都 需要 这 个 服务 ,管理 “网络 和 拨 
号 连接 "文件 夹 中 的 对 象 ,在 其 中 可 以 查看 
局 域 网 和 远程 连接 


Svchost exe 


Network DDE 


为 在 同一 台 计算 机 或 不 同 计算 机 上 运行 的 
程序 提供 动态 数据 交换 (DDE) 的 网 络 传输 
和 安全 。 如 果 此 服务 被 终止 ,DDE 传输 和 
安全 将 不 可 用 。 如 果 此 服务 被 禁用 ,任何 
依赖 它 的 服务 将 无 法 启动 


netdde. exe 


不 需要 


禁用 


Network DDE DSDM 


管理 动态 数据 交换 (DDE) 网 络 共享 。 如 果 
此 服务 终止 ,DDE 网 络 共享 将 不 可 用 。 如 
果 此 服务 被 禁用 ,任何 依赖 它 的 服务 将 无 
法 启动 


netdde. exe 


Network Location 
Awareness (NLA) 


收集 并 保存 网 络 配置 和 位 置信 息 , 并 在 信 
息 改 动 时 通知 应 用 程序 


Svchost exe 


NT LM Security 
Support Provider 


Telnet 服务 需要 ,为 使 用 传输 协议 而 不 是 
命名 管道 的 远程 过 程 调用 (RPC) 程 序 提供 
安全 机 制 


lsass. exe 


Performance Logs 
and Alerts 


记录 机 器 运行 状况 而 且 定时 写 人 日 志 或 发 
警告 ,收集 本 地 或 远程 计算 机 基于 预先 配 
置 的 日 程 参 数 的 性 能 数据 ,然后 将 此 数据 
写 人 日 志 或 触发 警报 。 如 果 此 服务 被 终 
止 :将 不 会 收集 性 能 信息 。 如 果 此 服务 被 
禁用 ,任何 依赖 它 的 服务 将 无 法 启动 


smlogsve. exe 


永 不 


Plug and Play 


即 插 即 用 服务 ,使 计算 机 在 极 少 或 没有 用 
户 输入 的 情况 下 能 识别 并 适应 硬件 的 更 
改 。 终 止 或 禁用 此 服务 会 造成 系统 不 稳定 


services. exe 


必须 


Portable Media Serial 
Number Windows 
Media 


Media Player 和 Microsoft 为 保护 数字 媒体 
版 权 认 证 


Svchost exe 


永 不 
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续 表 
服务 名 称 描 述 应 用 程序 “| 功能 需求 | 启动 类 型 
Ps spooler | 为 条 所 提 全 的 服 务 . 在 打 本 的 可 候 开 一 | wokv cxe | 可 这 | 
储存 本 地 密码 和 网 上 服务 密码 的 服务 , 包 
括 填 表 时 的 “自动 完成 功能。 提供 对 敏感 
Protected Storage 数据 (如 私 钥 ) 的 保护 性 存储 ,以 便 防止 未 lsass. exe 不 需要 自动 
授权 的 服务 .过 程 或 用 户 对 其 的 非法 访问 
服务 质量 资源 预 留 协议 。 它 为 QoS 应 用 程 
序 预 留 了 20% 的 带宽 ,对 于 用 “ 猫 * 上 网 的 
用 户 来 说 ,这 20% 的 带宽 是 万 万 容 不 得 如 和 
OSE 此 销 张 浪费 的 。 为 依赖 质量 服务 (QoS) 的 | rsvP' exe | 不 需要 | 自动 
程序 和 控制 应 用 程序 提供 网 络 信 号 和 本 地 
通信 控制 安装 功能 
eg | 无 论 什么 时 候 当 某 个 程序 引用 一 个 远程 
ei NE a DNS 或 NetBIOS 名 或 者 地 址 就 创建 一 个 | svchost exe 可 选 手动 
“ ”| 到 远程 网 络 的 连接 
Remote Access 2 
Connection Manager 创建 网 络 连接 veont ete 可 选 手动 
er one Teie 远程 帮助 服务 。 占 用 3. 4 一 4MB 内 存 。 管 
Ee ee 理 并 控制 远程 协助 。 如 果 此 服务 被 终止 ，| 、、 未 第 亦 | 项 用 
Sesion Manaiet | 远程 协助 将 不 可 用 。 终止 此 服务 前 ,参考 | | 人 
ee “属性 "对话 框 上 的 “依存 ”选项 卡 
系统 核心 服务 , 如果 在 Windows Server 
Remote Procedure 2003 中 禁止 该 服务 ,系统 将 无 法 启动 。 提 h 必需 自动 
Call (RPC) 供 终结 点 映射 程序 (Endpoint Mapper) 以 及 | svchost exe a 
其 他 RPC 服务 
oote eoure | 管理 RPC 数据 库 服务 ,占用 1MB 内存 | locator. exe | 不 需要 | 手动 
远程 注册 表 运 行 /修改 。 使 远程 用 户 能 修 
i 改 此 计算 机 上 的 注册 表 设 置 。 如 果 此 服务 
eat Soni 被 终止 ,只 有 此 计算 机 上 的 用 户 才 能 修改 | svchost. exe | 永 不 禁用 
SS 注册 表 。 如 果 此 服务 被 禁用 ,任何 依赖 它 
的 服务 将 无 法 启动 
Removable Storage 可 移动 存储 (如 磁带 备份 等 ) svchost exe 不 需要 | 手动 
人 and Remote ee svchost exe | 不 需要 | 禁用 
给 予 Administrator 以 外 的 用 户 分 配 指定 操 
作 权 。 启 用 替换 凭据 下 的 启用 进程 。 如 果 
Secondary Logon 此 服务 被 终止 ,此 类 型 登录 访问 将 不 可 用 。| svchost exe 不 需要 | 禁用 
如 果 此 服务 被 禁用 ,任何 依赖 它 的 服务 将 
无 法 启动 
Security Aceonints | 所 从 pioteotodl Gioiage ul Adinit 的 服 其 | eds ewe 不 需要 | 自动 


Manager 
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续 表 
服务 名 称 描 述 应 用 程序 “| 功能 需求 | 启动 类 型 
支持 此 计算 机 通过 网 络 的 文件 .打印 和 命 
名 管道 共享 。 如 果 服 务 停止 ,这 些 功 能 不 3 
St 可 用 。 如 果 服 务 被 禁用 ,任何 直接 依赖 于 |scnosr exe | 可 选 。 | 自动 
此 服务 的 服务 将 无 法 启动 
ee I inetinfo exe “| 没有 安装 | 没有 安装 
Si 5 ,支持 一 些 老 的 名 
Ee te 支持 一 些 老 的 UNIX 网 络 ovo eae 没有 安装 | 没有 安装 
SNMP Service 简单 网 络 管理 协议 ,需要 单独 安装 snmp. exe 没有 安装 | 没有 安装 
SNMP Trap Service | 简单 网 络 管理 协议 ,默认 没有 安装 snmptrap. exe | 没有 安装 | 没有 安装 
ee UPNP 的 硬件 利用 该 服务 svchost exe | 不 需要 ”| 些 用 
记录 用 户 登录 /注销 /重启 /关机 信息 。 跟 
System Event 踪 系 统 事件 ,如 登录 Windows、 网 络 以 及 电 h :需要 自动 
Notification 源 事件 等 。 将 这 些 事件 通知 给 COM 十 事 hot exe | 不 
件 系统 “订阅 者 ”(Subscriber) 
系统 还 原 服务 ,占用 大 量 系 统 资源 和 内 存 。 
System Restore | 执行 系统 还 原 功能 。 要 停止 服务 ,从 ”我 的 |phowt exe | 可 选 。 | 然 用 
Service 电脑 "的 属性 中 的 “系统 还 原 " 选 项 卡 关 闭 | 和 
系统 还 原 
使 用 户 能 在 此 计算 机 上 配置 和 制定 自动 任 
务 的 日 程 。 如 果 此 服务 被 终止 ,这 些 任 务 i 和 
Task Scheduler 将 无 法 在 日 程 时 间 里 运行 。 如 果 此 服务 补 Svchost exe 可 选 自动 
禁用 ,任何 依赖 它 的 服务 将 无 法 启动 
二 如 果 网 络 不 用 NetBIOS 或 WINS, 就 可 以 关 
ea ¢ ee 闭 。 人 允许 对 “TCP/IP 上 NetBIOS (NetBT)”| svchost exe “| 不 需要 ”| 禁用 
服务 以 及 NetBIOS 名 称 解析 的 支持 
SC me | TCP/IP 打印 服务 ,需要 单独 安装 tepsves exe | 没有 安装 | 没有 安装 
拨号 服务 。 提 供 TAPI 的 支持 ,以 便 程序 控 
Telephony 制 本 地 计算 机 、 服 务 器 以 及 LAN 上 的 电话 |svehost. exe | 可 选 手动 
设备 和 基于 IP 的 语音 连接 
允许 远程 用 户 登 录 到 此 计算 机 并 运行 程 
序 ,并 支持 多 种 TCP/IP Telnet 客户 ,包括 
Telnet 基于 UNIX 和 Windows 的 计算 机 。 如 果 此 |tlntsvr. exe 永 不 禁用 
服务 停止 ,远程 用 户 就 不 能 访问 程序 ,任何 
直接 依靠 它 的 服务 将 会 启动 失败 
实现 远程 登录 本 地 计算 机 ,快速 用 户 切 换 
和 远程 桌面 功能 需要 该 服务 支持 。 人 允许 多 
一 会 远 
Tomminal serviees | 个 用 和 接 并 仙 一 各 机 器 -并 月 在 运程 owt x。 | 不 和 要 | 
桌面 (包括 管理 员 的 远程 桌面 )、 快 速 用 户 
转换 、 远 程 协助 和 终端 服务 器 的 基础 结构 
Upload Manager 用 来 实现 服务 器 和 客户 端 输送 文件 的 服 |svehost exe | 不 需要 ”| 禁用 


务 , 简 单 文件 传输 不 需要 此 服务 


eo@ 
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续 表 
服务 名 称 描 述 应 用 程序 “| 功能 需求 | 启动 类 型 
使 基于 Windows 的 程序 能 创建 .访问 和 修 
改 基 于 Internet 的 文件 。 如 果 此 服务 被 终 i 
WebClient 止 ,将 会 失去 这 些 功能 ， 如 果 此 服务 被 林 Svchost exe 永 不 禁用 
用 ,任何 依赖 它 的 服务 将 无 法 启动 
管理 基于 Windows 的 程序 的 音频 设备 。 
。 如 果 此 服务 被 终止 ,音频 设备 及 其 音效 将 站 
Windows Audio 不 能 正常 工作 。 如 果 此 服务 被 禁用 ,任何 svchost exe | 必需 自动 
依赖 它 的 服务 将 无 法 启动 
Windows Installer Windows 的 msi 安装 服务 msiexec. exe | 需要 手动 
提供 共同 的 界面 和 对 象 模式 以 便 访问 有 关 
Windows 操作 系统 ,设备 ,应 用 程序 和 服务 的 管理 信 
Management 息 。 如 果 此 服务 被 终止 ,多 数 基 于 Windows | svchost exe 必需 自动 
Instrumentation 的 软件 将 无 法 正常 运行 。 如 果 此 服务 被 禁 
用 ,任何 依赖 它 的 服务 将 无 法 启动 
Windows 
Management Windows 管理 服务 扩展 Svchost exe 需要 手动 
Instrumentation 
Driver Extension 
Mie 无 线 网 络 设置 服务 svchost. exe 可 选 禁用 
Zero Configuration 
用 来 管理 网 络 、 支 持 联网 和 打印 、 文 件 共 
享 。 创 建 和 维护 到 远程 服务 的 客户 端 网 络 
Workstation 连接 。 如 果 服 务 停止 ,这 些 连接 将 不 可 用 。| svchost exe | 必需 自动 
如 果 服 务 被 禁用 ,任何 直接 依赖 于 此 服务 
的 服务 将 无 法 启动 
oa Wide Web | www 服务 ,需要 单独 安装 inetinfo exe | 不 需要 | 没有 安装 
Publishing Service 


2.3.2 系统 服务 的 设置 


服务 在 启动 或 者 运行 的 过 程 中 ,可 能 需要 其 他 的 服务 已 经 启动 作为 先决 条 件 , 如 果 相关 
的 服务 没有 启动 , 则 当前 运行 的 服务 可 能 不 能 启动 成 功 。 

仍 以 DHCP Client 服务 为 例 ,在 “DHCP Client 
的 属性 (本 地 计算 机 )” 对 话 框 中 ,选择 “依存 关系 ” 选 
项 卡 , 如 图 2-36 所 示 。 在 “此 服务 依赖 以 下 系统 组 件 ” 
列表 框 中 展开 相应 的 服务 , 即 可 看 到 所 依存 的 组 件 ; 
在 “以 下 系统 组 件 依 赖 此 服务 ”列表 中 , 列 出 的 是 所 有 
依赖 于 此 服务 的 组 件 ,操作 时 同样 需要 注意 。 


2.3.3 知识 链接 : PowerShell 


PowerShell 是 微软 公司 于 2006 年 正式 发 布 的 ， 
了 PowerShell 的 发 布 标志 着 微软 公司 向 服务 器 领域 迈 


出 了 重要 的 一 步 。PowerShell 的 前 身 为 Monad, 在 


Cw ww | ono 


图 2-36 ”DHCP Client 服务 的 依存 组 件 
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2006 年 4 月 25 日 正式 发 布 beta 版 时 更 名 为 PowerShell。Windows PowerShell( 简 称 PS) 
是 一 种 新 的 命令 行 外 壳 和 脚本 语言 .用 于 进行 系统 管理 和 自动 化 。Windows PowerShell 建 
立 在 . NET Framework 的 基础 上 ,可 使 IT 专业 人 员 和 开发 人 员 控 制 与 自动 完成 Windows 
及 应 用 程序 的 管理 。 

1. Windows PowerShell 功能 

PowerShell 引入 了 cmdlet( 读 作 command-let) 的 概念 ,每 个 cmdlet 是 内 置 的 ,可 以 分 
别 使 用 ,组 合 使 用 更 能 发 挥 其 作用 。 在 PowerShell 中 ,大 多 数 cmdlet 都 非常 简单 ,例如 ， 
"get"cmdlet 用 于 检索 数据 ,"set"cmdlet 用 于 建立 或 更 改 数据 ,"format"cmdlet 用 于 设置 数 
据 格式 ,"out"cmdlet 用 于 将 输出 定向 到 指定 的 目标 。 

Windows PowerShell 具有 如 下 功能 。 

(1) 多 达 130 个 命令 行 可 以 用 来 执行 常见 系统 管理 任务 工具 。 具 体 包 括 管 理 服 
务 .管理 流程 .管理 事件 日 志 、 管 理 证 书 、 修 改 注 册 表 ,以 及 使 用 Windows Management 
JInstrumentation(WMI) 。 

(2) 学 习 和 使 用 都 非常 简单 。 

(3) 支持 用 于 现 有 的 脚本 语言 ,用 于 现 有 的 命令 行 工具 ,以 及 多 个 版 本 的 Windows, 包 
括 Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008 等 。 

(4) 允许 用 户 浏览 数据 存储 区 文件 系统 。 这 些 数据 存储 区 包括 注册 表 和 证 书 存储 。 

(5) 用 于 管理 Windows 数据 以 不 同 的 存储 区 和 格式 的 标准 实用 程序 。 包 括 Active 
Directory Service Interfaces(ADSI) .Windows Management Instrumentation(WMI) .COM 
对 象 .ActiveX 数据 对 象 (ADO)、HTML 和 XML。 

(6) 复杂 的 表达 式 分 析 和 . NET Framework 在 命令 行 中 的 对 象 的 操作 。 

(7) 可 扩展 的 接口 ,使 独立 软件 供应 商 和 企业 开发 人 员 能 够 构建 自 定义 cmdlet。 

2. 选择 PowerShell 版 本 

在 使 用 PowerShell 前 ,首先 需要 根据 实际 情况 选择 所 使 用 的 PowerShell 版 本 。 

(1) 英语 版 。 如 果 运 行 的 是 Windows 英语 版 操作 系统 ,或 除 德 语 .西班牙 语法 语 、 意 
大 利 语 日语、 朝鲜 语 、 葡 萄 牙 语 、 俄 语 ,简体 中 文 或 繁体 中 文 外 的 Windows 版 本 , 则 安装 
Windows PowerShell 1.0 英语 版 。 

(2) MUI 语言 包 。 如 果 和 运行 的 是 Windows 多 语言 界面 (MUI) 版 本 (以 多 种 语言 显示 
Windows 界面 ) ,首先 安装 Windows PowerShell 1.0 英语 版 ,然后 安装 Windows PowerShell 1.0 
MUI 语言 包 。 需 要 注意 的 是 ,MUI 语 言 包 中 并 不 包含 Windows PowerShell 程序 。 

注意 : 在 安装 Windows PowerShell 1.0 之 前 ,必须 先 印 载 任 何其 他 版 本 的 Windows 
PowerShell。 在 安装 Windows PowerShell 1.0 后 ,不 需要 重新 启动 计算 机 即 可 使 用 。 

3. PowerShell 的 安装 

PowerShell 并 不 会 随 系统 安装 到 计算 机 中 ,对 于 Windows 2000/XP/2003/Vista 而 言 ， 
必须 到 微软 网 站 (http://www. microsoft. com/downloads) 下 载 PowerShell 安装 程序 。 而 
Windows 2008 则 可 以 在 安装 光盘 中 找到 安装 文件 .并 可 使 用 系统 提供 的 服务 器 管理 器 进行 
安装 操作 。 对 于 Windows 2000/XP/2003/Vista 系统 ,PowerShell 的 安装 非常 简单 ,下 载 完 
成 后 根据 安装 向 导 进 行 安装 即 可 。 这 里 以 Windows 2008 为 例 ,介绍 如 何 安装 PowerShell。 

(1) 打开 “服务 器 管理 器 ”窗口 ,在 左 侧 栏 中 选择 “功能 ”选项 ,在 右 侧 窗口 中 单 击 “ 添 


加 功能 ”按钮 ,显示 图 2-37 所 示 的 “选择 功能 "对话 框 。 在 该 对 话 框 中 ,选中 Windows 
PowerShell 复 选 框 。 


图 2-37 “选择 功能 ”对话 框 


(2) 单 击 * 下 一 步 ?按钮 ,显示 “确认 安装 选择 ”对话 框 。 
(3) 确认 无 误 后 , 单 击 “ 安 装 ” 按 钮 , 即 可 开始 安装 Windows PowerShell。 安 装 完成 后 ， 
显示 图 2-38 所 示 的 “安装 结果 ”对 话 框 。 


图 2-38 “安装 结果 ”对 话 框 


(4) 单 击 “ 关 闭 ” 按 钮 , 即 可 完成 该 功能 的 添加 操作 。 
4. 运行 PowerShell 
若 要 运行 PowerShell, 可 以 通过 以 下 3 种 方法 实现 。 
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方法 1: 依次 选择 “开始 ”一 “所 有 程序 ”> Windows PowerShell 1. 0 一 Windows 
PowerShell 命令 , 即 可 启动 PowerShell, 如 图 2-39 所 示 。 


inaovs Povershell 


版 权 所 有 《<C》 2886 Micresoft Corperation。 保 留 所 有 权利 。 


lps c: usersvadninistratory 


图 2-39 运行 PowerShell 


行 ”" 对 话 框 中 启动 Windows PowerShell。 依 ; “开始 ”一 “运行 ” 命 
,在 . 打 开 ” 文 本 框 中 输入 powershell, 然 后 单 击 “ 确 定 ” 按 钮 , 即 可 运行 PowerShell, 如 
图 2 2-40 所 示 


方法 3: 在 命令 提示 符 下 运行 PowerShell, 在 命令 提示 符 中 输入 如 下 命令 


powershell 


按 Enter 键 , 即 可 运行 PowerShell, 如 图 2-41 所 示 


91] 
rporation。 保 留 所 有 权利 。 

pove rahell 

tr Sell E 

版 权 所 有 《<c》2886 Microsefe Corporation。 保 留 所 有 权利 。 有 有 < 28 microsoft corparatdon。 保留 所 有 权利 。 


js c: eers adnintseratory C: Wsere\Adninistrator> 


划 


图 2-40 ”从 “运行 "对 话 框 中 启动 Windows PowerShell 图 2-41 在 命令 提示 符 了 PowerShell 
2.4 网 络 服务 管理 

使 用 MMC 可 以 简化 本 地 计算 机 的 管理 。 例 如 ,使 用 MMSC 管理 网 络 服务 管理 
DHCP 服务 器 ,需要 从 “管理 工具 ”中 运行 “DHCP”; 如 果 需 | DNS 服务 器 ,前 bad 
行 DNS; 如 果 需 要 管理 证 书 服务 ,就 需要 运行 证 书 服务 。 在 管理 多 个 服务 时 ,需要 频繁 地 从 


多 种 服务 中 进行 切换 ,而 使 用 MMC , 则 可 以 将 常用 的 管理 服务 添 hh -个 MMC 管理 界面 
中 ,也 可 以 把 本 地 计算 机 上 的 所 有 管理 都 添加 到 一 个 管理 界面 中 。 

(1) 运行 MMC, 将 本 地 计算 机 上 的 所 有 和 欲 管理 的 MMC 插件 添加 到 一 个 MMC 控制 台 
中 ,如 图 2-42 所 示 。 
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局 文件 0) 挤 作 0 查看 员 。 收藏 赤 D) 证 口 0) 才 助 名 
CEIEILIG 


信息 服务 | ee mt 
bp tr aE | Ei sp 管理 


习 辐 
ey 计生 中 地) 
访问 


ER 
本 千 性 共和 


T | 


图 2-42 添加 MMC 控制 台 


(2) 依次 选择 “文件 ”一 “保存 "命令 ,显示 图 2-43 所 示 的 “保存 为 "对话 框 。 根 据 需 要 设 

置 保存 的 路 径 和 名 称 即 可 ,这 里 将 其 保存 在 “管理 工具 ”文件 夹 下 ,保存 名 称 为 “本 地 计算 机 
管理 ”。 

HI x 

保 在 中 ): i G7 Er 


ES 


HS tt 是 可 
保存 去 型 四 ws wscmme Console 文件 msc) 到 


而 


图 2-43 “保存 为 对话 框 


(3) 下 次 使 用 时 ,可 直接 从 “管理 工具 ”中 运行 “本 地 计算 机 服务 . msc" 来 管理 本 地 服务 。 
图 2-44 所 示 为 管理 域 用 户 。 


知识 链接 : MMC 


MMC( Microsoft Management Console) 控 制 台 可 以 根据 需要 将 欲 管理 的 多 个 管理 单元 
添加 到 控制 台 ,进行 集中 管理 ,例如 计算 机 管理 .磁盘 管理 等 。 另 外 ,在 MMC 控制 台中 ,还 
可 以 将 所 添加 的 管理 单元 进行 保存 ,方便 下 次 使 用 。 图 2-45 所 示 为 添加 了 磁盘 管理 .本 地 
用 户 和 组 ,共享 文件 夹 3 个 管理 单元 的 控制 台 窗 口 。 具 体 关 于 MMC 控制 台 的 使 用 方法 的 
介绍 可 参见 第 5 章 的 相关 内 容 , 这 里 就 不 再 袭 述 。 
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cre_ ceelpr nt]\ cnrlpen se eVe A 1- 下 | 
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用 户 
人 WH。 更 字 捐 作 


图 2-45 MMC 控制 台 


2.5 进程 管理 


进程 是 一 个 具有 独立 功能 的 程序 关于 某 个 数据 集合 的 一 次 运行 活动 ,可 以 申请 和 拥有 
系统 资源 ,是 一 个 动态 的 概念 ,是 一 个 活动 的 实体 。 进 程 不 只 是 程序 的 代码 ,还 包括 当前 的 
活动 ,通过 程序 计数 器 的 值 和 处 理 寄存 器 的 内 容 来 表示 。 

2.5.1 显示 任务 进程 一 一 tasklist 

使 用 tasklist 命令 可 以 显示 运行 在 本 地 或 远程 计算 机 上 的 所 有 任务 的 应 用 程序 和 服务 
列表 , 带 有 进程 ID(PID) 。tasklist 是 一 个 进程 查看 命令 ,可 以 查看 当前 系统 中 所 有 运行 的 
进程 及 占用 的 内 存 。 

1. 显示 任务 进程 

在 命令 提示 符 窗口 中 输入 如 下 命令 。 


tasklist | more 
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按 Enter 键 , 即 可 显示 本 地 计算 机 中 所 有 正 
在 运行 的 进程 ,如 图 2-46 所 示 。 在 这 里 显示 的 
进程 信息 和 Windows 的 任务 管理 器 中 的 是 
样 的 ,包含 进程 名 .PID、 会 话 名 和 占用 内 存 

提示 : 在 屏幕 显示 输出 结果 后 ,重复 按 
Enter 键 ,可 以 显示 更 多 任务 进程 。 

。 显示 加 载 的 模块 信息 

宙 tasklist 命令 ,显示 系统 中 正在 运行 的 

进程 信息 ,同时 还 显示 该 进程 目前 依附 的 其 他 


模块 。 在 命令 提示 符 窗口 中 输入 如 下 命令 
图 2-46 显示 任务 进程 


tasklist /m | more 


按 Enter 键 ,显示 图 2-47 所 示 的 加 载 模板 的 信息 
显示 调用 指定 动态 连接 库 的 进程 
使 用 tasklist 命令 ,可 以 看 到 动态 连接 库 ntdll. dll 正在 使 用 的 那些 进程 名 称 
提示 符 窗口 中 输入 如 下 命令 


tasklist /m ntdll. dll | more 


按 Enter 键 ,如 图 2-48 所 示 


re Adninistrator tasklist/n ntdll.dllinore 


PIp 模块 


424 ntdll.d11 
492 ntdll.dll, CSRSRU.dll, basesrv.dll, 
vinsro.dll, USER32.d11, XERMEL32.d11, 
GDI32.411, ADUAPI32.411, RPCRT4.d11, 
LPK-DLL。 USP18.d11。 ravert.dll, sxs-dll 
536 ntdll.dll, CSRSRU.dll, basesru-dll, 648 nedll-dll 
784 nedll-dll 
49 ntdll-dll 


1764 nal 


在 命 


全 


图 2-47 加载 模板 的 信 图 2-48 ”显示 调用 指定 动 


4， tasklist 命令 的 语法 及 参数 
tasklist 命令 的 基本 语法 如 下 


tasklist [/s system [/u username [/p [password]]]] [/m [module] sve | /v] [L/fi filter] [/fo 


format] [/nh] 
其 中 ,各 参数 的 含义 如 下 。 


(1) /s system: 指定 连接 到 的 远程 系统 。 
(2) /u username: 指定 执行 这 个 命令 的 用 户 。 


接 库 的 进程 
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(3) /p [passwordj]: 为 提供 的 用 户 指定 密码 。 如 果 和 忽略 , 则 会 提示 输入 。 

(4) /m [module]: 列 出 当前 使 用 所 给 exe/dll 名 称 的 所 有 任务 。 如 果 没 有 指定 模块 名 
称 ,显示 所 有 加 载 的 模块 。 

(5) /svc: 显示 每 个 进程 中 主持 的 服务 。 

(6) /v: 显示 详 述 任务 信息 。 

(7) /fi filter: 显示 一 系列 符合 筛选 器 指定 的 标准 的 任务 。 

(8) /fo format: 指定 输出 格式 。 有 效 值 : TABLE、LIST 和 CSV。 

(9) /nh: 指定 列 标题 不 应 该 在 输出 中 显示 。 只 对 ”TABLE” 和 ”CSV” 格 式 有 效 。 

表 2-3 列 出 了 有 效 的 筛选 器 名 称 、 有 效 操作 符 和 有 效 值 。 

表 2-3 有 效 的 筛选 器 名 称 、 有 效 操作 符 和 有 效 值 


筛选 器 名 称 有 效 操作 符 有 效 值 
STATUS eqvne RUNNING | NOT RESPONDING UNKNOWN 
IMAGENAME eqvne 映像 名 称 
PID eqyneygtvltvgevle PID 值 
SESSION eq, ne, gt, lt, ge, le | 会 话 编号 
SESSIONNAME | eq, ne 会 话 名 
CPUTIME eqs ne, gt, lt, ge, le | CPU 时 间 , 格 式 为 hh:mm:ss。hh: 时 ,mm: 分 ,ss: 秒 
MEMUSAGE eq ne, gt, lt, ge, le | 内 存 使 用 量 ,单位 为 KB 
USERNAME eq, ne 用 户 名 ,格式 为 [domain\ juser 
SERVICES eq» ne 服务 名 称 
WINDOWTITLE | eq, ne 窗口 标题 
MODULES eq ne DLL 名 称 


注意 : 当 查 询 远 程 机 器 时 ,不 支持 WINDOWTITLE 和 STATUS 筛选 器 。 


2.5.2 结束 任务 进程 一 一 taskkill 


taskkill 命令 用 于 结束 运行 在 本 地 或 远程 计算 机 上 的 所 有 任务 的 应 用 程序 和 服务 列表 ， 


带 有 进程 ID(PID)。 


例如 ,结束 explorer. exe 进程 ,在 命令 提 


示 符 窗口 中 输入 如 下 命令 。 


taskkill /im explorer. exe 


按 Enter 键 ,显示 图 2-49 所 示 的 结束 资源 


图 2-49 ”结束 explorer 进程 


管理 器 程序 的 进程 。 
taskkill 命令 的 基本 语法 如 下 。 


taskkill[. exe] [/s computer] [/u domain\user [/p password]] [/fo {TABLE|LIST|CSV}] [L/nh] 
LAf FilterName [/fi FilterName2 [ ... J]]] [/m [ModuleName] | /sve | /可 


该 命令 中 各 参数 的 含义 如 下 。 
(1) /s computer: 指定 远程 计算 机 名 称 或 IP 地 址 (不 能 使 用 “/”)。 上 默认 值 是 本 地 计 
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算 机 。 

(2) /u domain\user: 运行 具有 由 user 或 domain\user. 指定 用 户 的 账户 权限 命令 。 默 
认 值 是 当前 登录 发 布 命令 的 计算 机 的 用 户 权限 。 

(3) /p password: 指定 用 户 账户 的 密码 ,该 用 户 账户 在 /u 参数 中 指定 。 

(4) /fo {TABLE|LISTICSV): 指定 输出 所 用 的 格式 。 有 效 值 为 TABLE、LIST 和 
CSV。 输 出 的 默认 格式 为 TABLE。 

(5) /nh: 取消 输出 结果 中 的 列 标题 。 当 /fo 参数 设置 为 TABLE 或 CSV 时 有 效 。 

(6) /fi FilterName: 指定 该 查询 包括 或 不 包括 的 进程 类 型 。 表 2-4 列 出 了 相关 参数 的 
解释 。 


表 2-4 参数 解释 
名 称 运 算 符 值 
状态 eq，ne RUNNING| NOT RESPONDING 
Imagename eq, ne 任何 有 效 字符 串 
PID eq ne, gt, lt, ge, le 任何 有 效 的 正 整数 
会 话 eq ne, gt, lt, ge, le | 任何 有 效 的 会 话 数 
SessionName | eq, ne 任何 有 效 字 符 串 


hh:mm:ss 格式 的 有 效 时 间 。mm 参数 和 ss 参数 应 在 0 一 59 
之 间 ,hh 参数 可 以 是 任何 一 个 有 效 的 无 符号 的 数值 
memusage eq», ne, gt, lt, ge, le 任何 有 效 的 整数 


CPUTime eq» ne, gt, lt, ge, le 


用 户 名 eq ne 任何 有 效 的 用 户 名 ([domain\ Juser) 
服务 eq ne 任何 有 效 字符 串 
Windowtitle eq: ne 任何 有 效 字 符 串 
Modules eq, ne 任何 有 效 字符 串 


(7) /m [ModuleNamej]: 指定 显示 每 个 进程 的 模块 信息 。 指 定 模块 时 ,将 显示 使 用 此 
模块 的 所 有 进程 。 没 有 指定 模块 时 ,将 显示 所 有 模块 的 所 有 进程 。 不 能 与 /sve 或 /v 参数 一 
起 使 用 。 

(8) /sve: 不 间断 地 列 出 每 个 进程 的 所 有 服务 信息 。 当 /fo 参数 设置 为 TABLE 时 有 
效 。 不 能 与 /m 或 /v 参数 一 起 使 用 。 

(9) /v: 指定 显示 在 输出 结果 中 的 详细 任务 信息 。 不 能 与 /sve 或 /m 参数 一 起 使 用 。 


2.5.3 知识 链接 : 命令 行 


命令 行 的 前 身 为 DOS,DOS 是 Windows 系列 操作 系统 出 现 前 的 一 种 计算 机 操作 系统 。 
曾经 风靡 全 球 , 但 随 着 Windows 操作 系统 的 不 断 盛行 和 发 展 ,DOS 已 经 越 来 越 不 受 人 们 关 
注 了 。 但 有 些 工作 依然 必须 在 DOS 模式 下 完成 ,例如 系统 恢复 和 修复 工作 等 。 因 此 ,在 
Windows 2000 以 后 的 版 本 中 ,使 用 命令 提示 符 取 而 代 之 。 打 开 “ 运 行 ” 对 话 框 ,在 “打开 ” 文 
本 框 中 输入 cmd 命令 . 单 击 “ 确 定 ” 按 钮 , 即 可 启动 命令 行 窗 口 ,如 图 2-50 所 示 。 或 依次 选择 
“开始 ”>“ 所 有 程序 ”>“ 附 件 ”>“ 命 令 提 示 符 ” 命 令 , 也 可 启动 命令 行 窗口 。 
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Microsoft Windows 【版 : 


所 ec 0 me a。 保 留 所 有 权利 。 


= sers\Adninistrator> 


图 2.50 命令 行 窗口 


2.6 任务 管理 


任务 计划 程序 可 帮助 管理 计划 在 特定 时 间或 在 特定 事件 发 生 时 执行 操作 的 自动 任务 。 
该 管理 单元 可 以 维护 所 有 计划 任务 的 库 , 从 而 提供 了 任务 的 组 织 视图 以 及 用 于 管理 这 些 任 
务 的 方便 访问 点 。 根 据 不 同 的 需要 可 以 使 用 MMC 控制 台 或 命令 行 方式 ,这 里 以 命令 行 方 
式 为 例 进 行 介绍 。 对 于 MMC 控制 台 方式 ,可 以 通过 依次 选择 “开始 ”一 “管理 工具 ”一 “任务 
计划 程序 ”命令 ,启动 “任务 计划 程序 ”管理 窗口 进行 配置 管理 

使 用 schtasks 命令 可 以 对 命令 和 程序 进行 自 定 义 安排 ,使 其 定期 运行 或 在 指定 时 间 运 
行 ; 向 计划 中 添加 任务 和 删除 任务 、 根 据 需 要 启动 和 停止 任务 以 及 显示 和 更 改 计划 的 任务 
允许 管理 员 创建 删除 、 查 询 、 更 改 、 运 行 和 中 止 本 地 或 远程 系统 上 的 计划 任务 

要 显示 任务 计划 ,可 以 在 命令 提示 符 下 输入 以 下 命令 


schtasks 


按 Enter 键 ,显示 图 2-51 所 示 的 任务 计划 信息 


schtasks 命令 的 基本 语法 如 下 
schtasks /parameter [arguments] 


其 中 ,/parameter 参数 的 取 值 及 含义 如 下 
(1) /create: 创建 新 计划 任务 。 
(2) /delete: 删除 计划 任务 
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(3) /query: 显示 所 有 计划 任务 。 

(4) /change: 更 改 计划 任务 属性 。 

(5) /run: 立即 运行 计划 任务 。 

(6) /end: 中 止 当前 正在 运行 的 计划 任务 。 

arguments 参数 所 使 用 的 选项 与 /parameter 参数 相关 ,具体 选项 根据 /parameter 参数 
进行 选择 。 


2.6.1 创建 计划 任务 


schtasks 针对 各 种 计划 类 型 使 用 不 同 参 数组 合 。 要 查看 创建 任务 的 组 合 语法 或 查看 使 
用 特定 计划 类 型 创建 任务 的 语法 ,选择 以 下 选项 之 一 。 

(1) 计划 任务 间隔 数 分 钟 运行 。 

(2) 计划 任务 间隔 数 小 时 运行 。 

(3) 计划 任务 间隔 数 天 运行 。 

(4) 计划 任务 间隔 数 周 运行 。 

(5) 计划 任务 间隔 数 月 运行 。 

(6) 计划 任务 在 周 的 指定 天 运行 。 

(7) 计划 任务 在 月 份 的 指定 周 运行 。 

(8) 计划 任务 在 每 月 的 特定 日 期 运行 。 

(9) 计划 任务 在 月 份 的 最 后 一 天 运行 。 

(10) 计划 任务 运行 一 次 。 

(11) 计划 任务 在 每 次 系统 启动 时 运行 。 

(12) 计划 任务 在 用 户 登 录 时 运行 。 

(13) 计划 任务 在 系统 空闲 时 运行 。 

(14) 计划 任务 现在 运行 。 

(15) 计划 任务 以 不 同 权 限 运行 。 

(16) 计划 任务 以 系统 权限 运行 。 

(17) 计划 任务 运行 多 个 程序 。 

(18) 计划 任务 在 远程 计算 机 上 运行 。 

1. 组 合 语法 和 参数 描述 

该 命令 的 基本 语法 如 下 。 


schtasks create 


schtasks create /sc ScheduleType /tn TaskName /tr TaskRun [/s Computer Lu [Domain\] User [/p 
Password]]] [/ru {[Domain\]User | System)] [/rp Password] [/mo Modifier] [/d Day[, Day...]| *] 
[/m Month [, Month...]] Li IdleTime] [/st StartTime] [/ri Interval] [{/et EndTime | /du 
Duration} [/k]] [/sd StartDate] [/ed EndDate] Li [/2Z] L/F] 


该 命令 中 各 参数 的 含义 如 下 。 

(1) /sc ScheduleType: 指定 计划 类 型 。 有 效 值 为 MINUTE、HOURLY、DAILY、 
WEEKLY、MONTHLY、ONCE、 ONSTART、ONLOGON、 ONIDLE。 计划 类 型 MINUTE、 
HOURLY、DAILY、WEEKLY、MONTHLY 指定 计划 的 时 间 单位 ; ONCE 任务 在 指定 的 
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日 期 和 时 间 运 行 一 次 ; ONSTART 任务 在 每 次 系统 启动 时 运行 ,可 以 指定 启动 的 日 期 ,或 
下 一 次 系统 启动 时 运行 任务 ; ONLOGON 每 当 用 户 ( 任 意 用 户 ) 登 录 时 ,任务 就 运行 ,可 以 
指定 日 期 ,或 在 下 次 用 户 登 录 时 运行 任务 ; ONIDLE 只 要 系统 空闲 指定 的 时 期 ,任务 就 运 
行 ,可 以 指定 日 期 ,或 在 下 次 系统 空闲 时 运行 任务 。 

(2) /tn TaskName: 指定 任务 的 名 称 。 系 统 上 的 每 项 任务 都 必须 具有 一 个 唯一 的 名 
称 。 名 称 必须 符合 文件 名 称 规则 ,并 且 长 度 不 得 超过 238 个 字符 。 使 用 引号 括 起 包含 空格 
的 名 称 。 

(3) /tr TaskRun: 指定 任务 运行 的 程序 或 命令 。 输 入 可 执行 文件 ,脚本 文件 或 批 处 理 
文件 的 完全 合格 的 路 径 和 文件 名 。 路 径 名 称 的 长 度 不 得 超过 262 个 字符 。 如 果 忽 略 该 路 
径 ,schtasks 将 假定 文件 在 Systemroot\System32 目录 下 。 

(4) /s Computer: 在 指定 的 远程 计算 机 上 计划 任务 。 输 入 远程 计算 机 的 名 称 或 IP 地 
址 ( 带 有 或 不 带 有 反 斜 杠 ) 。 默 认 值 是 本 地 计算 机 。 只 有 使 用 /s 时 ,/u 和 /p 参数 才 有 效 。 

(5) /u [Domain\]User: 使 用 指定 用 户 账户 的 权限 运行 该 命令 。 默 认 值 为 本 地 计算 机 
上 当前 用 户 的 权限 。 只 有 在 远程 计算 机 (/s) 上 计划 任务 时 ,/u 和 /Pp 参数 才 有 效 。 指 定 账户 
的 权限 用 来 计划 任务 和 运行 任务 。 要 使 用 其 他 用 户 的 权限 运行 任务 , 需 使 用 /ru 参数 。 用 
户 账户 必须 是 远程 计算 机 上 Administrators 组 的 成 员 。 另 外 ,本 地 计算 机 必须 与 远程 计算 
机 处 于 同一 个 域 中 ,或 者 必须 处 于 远程 计算 机 域 信任 的 域 中 。 

(6) /p Password: 提供 在 /u 参数 中 指定 的 用 户 账户 的 密码 。 如 果 使 用 /u 参数 ,但 忽 
略 /p 参数 或 密码 参数 ,schtasks 将 提示 输入 密码 ,并 且 不 显示 输入 的 文本 。 只 有 在 远程 计 
算 机 (/s) 上 计划 任务 时 ,/u 和 /p 参数 才 有 效 。 

(7) /ru {[Domain\]User | System): 使 用 指定 用 户 账户 的 权限 运行 任务 。 默 认 情 况 
下 ,使 用 本 地 计算 机 当前 用 户 的 权限 ,或 者 使 用 /u 参数 指定 用 户 的 权限 (如 果 包 含 的 话 ) 运 
行 任务 。 在 本 地 或 远程 计算 机 上 计划 任务 时 ,/ru 参数 才 有 效 。 值 描述 [Domain\]User 指 
定 候选 用 户 账户 。System 或 "指定 Local System 账户 ,这 是 一 种 操作 系统 和 系统 服务 使 用 
的 具有 高 度 特权 的 账户 。 

(8) /rp Password: 提供 在 /ru [Domain\]User 参数 中 指定 的 用 户 账 户 的 密码 。 如 果 
在 指定 用 户 账户 的 时 候 忽 略 了 这 个 参数 ,schtasks. exe 会 提示 输入 密码 ,而 且 不 显示 输入 的 
文本 。 不 要 将 /rp 参数 用 于 使 用 系统 账户 (/ru System) 的 权限 运行 的 任务 。 系 统 账 户 没有 
密码 ,而 schtasks. exe 也 不 提示 输入 密码 。 

(9) /mo Modifier: 指定 任务 在 其 计划 类 型 内 的 运行 频率 。 此 参数 对 于 MINUTE、 
HOURLY、DAILY、WEEKLY 或 MONTHLY 有 效 , 但 是 可 选 的 ,默认 值 为 1。 计 划 类 型 修 
饰 符 值 描述 MINUTE1-1439 任务 每 N 分 钟 运行 一 次 ,HOURLY1-23 任务 每 N 小 时 运行 
一 次 ,DAILY1-365 任务 每 N 天 运行 一 次 ,WEEKLY1-52 任务 每 N 周 运行 一 次 ; ONCE 没 
有 修饰 符 ,任务 运行 一 次 ,ONSTART 没有 修饰 符 .任务 在 启动 时 运行 ; ONLOGON 没有 修 
饰 符 ,/u 参数 指定 的 用 户 登 录 时 ,运行 任务 ; ONIDLE 没有 修饰 符 ,系统 闲置 /i 参数 (需要 
与 ONIDLE 一 起 使 用 ) 指 定 的 分 钟 数 之 后 运行 任务 ; MONTHLY1-12 任务 每 N 月 运行 一 
次 ; MONTHLYLASTDAY 任务 在 月 份 的 最 后 一 天 运行 . MONTHLYFIRST、SECOND、 
THIRD、FOURTH 、LAST 与 /dDay 参数 一 起 使 用 ,并 在 特定 的 周 和 天 运行 任务 ,例如 ,在 
月 份 的 第 三 个 周三 。 
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(10) /d Day[, Day..…] | x*: 指定 周 或 月 的 一 天 (或 几 天 )。 只 对 WEEKLY 或 
MONTHLY 计划 有 效 。 计 划 类 型 修饰 符 天 值 (/d) 描 述 WEEKLY1-52MON-SUN[L ,MON- 
SUN...]| * 可 选项 。MON 是 默认 值 ,通配符 值 (*) 指 每 天 , MONTHLYFIRST、 
SECOND、THIRD、FOURTH、LASTMON-SUN 对 于 特定 周 计划 是 必需 的 MONTHLY 
无 或 {1 - 12)1 - 31 仅 在 没有 修饰 符 (/mo) 参 数 (特定 日 期 计划 ) 的 情况 下 或 /mo 为 1 - 12 
(每 N 月 ”计划 ) 时 有 效 并 且 可 选 。 默 认 值 是 1( 月 份 的 第 一 天 )。 

(11) /m Month[ ,Month...]: 指定 计划 任务 应 在 一 年 的 某 月 或 数 月 运行 。 有 效 值 为 
JAN - DEC。/m 参数 仅 对 MONTHLY 计划 有 效 。 在 使 用 LASTDAY 修饰 符 时 ,这 个 参 

(12) /i IdleTime: 指定 任务 启动 之 前 计算 机 空闲 多 少 分钟 。 有 效 值 是 从 1 一 999 的 整 
数 。 此 参数 只 对 ONIDLE 计划 有 效 ,并 且 是 必需 的 。 

(13) /st StartTime: 指定 任务 在 一 天 的 什么 时 间 开 始 ( 每 次 开始 时 间 ) ,格式 为 HH: 
MM 24 小 时 格式 。 默 认 值 为 本 地 计算 机 的 当前 时 间 。/st 参数 只 对 MINUTE HOURLY、 
DAILY、WEEKLY、MONTHLY 和 ONCE 计划 有 效 。 此 参数 对 于 ONCE 计划 是 必需 的 。 

(14) /ri Interval: 指定 重复 的 时 间 间 隔 ( 以 分 钟 计 )。 此 参数 不 适用 于 以 下 计划 类 型 
MINUTE .HOURLY、ONSTART .ONLOGON \ONIDLE。 有 效 范围 为 1 一 599940 分 钟 
(599940 分 钟 三 9999 小 时 ) 。 如 果 指 定 了 /et 或 /du, 则 重复 间隔 默认 为 10 分 钟 。 

(15) /et EndTime: 指定 “分 钟 ? 或 “小 时 ?任务 计划 在 一 天 的 什么 时 间 结 束 , 格 式 为 
HH:MM 24 小 时 格式 。 指 定 的 结束 时 间 之 后 ,schtasks 不 重新 启动 任务 ,直到 再 次 达到 启 
动 时 间 。 上 默认 情况 下 ,任务 计划 没有 结束 时 间 。 该 参数 是 可 选 的 ,并 且 仅 对 “分 钟 ”或 “小 时 ” 
计划 有 效 。 

(16) /du Duration: 指定 “分 钟 ?或 “小 时 ?计划 的 最 大 时 间 长 度 ,格式 为 HHHH:MM 
24 小 时 格式 。 指 定 的 时 间 过 去 之 后 , schtasks 不 重新 启动 任务 ,直到 启动 时 间 再 次 到 来 。 
默认 情况 下 ,任务 计划 没有 最 大 持续 时 间 。 该 参数 是 可 选 的 ,并 且 仅 对 “分 钟 ” 或 “小 时 ”计划 
有 效 。 

(17) /k: 在 /et 或 /du 指定 的 时 间 停 止 任务 运行 的 程序 。 如 果 没 有 /kk, schtasks 在 到 
达 /et 或 /du 指定 的 时 间 之 后 不 再 启动 程序 ,但 不 会 停止 仍 在 运行 的 程序 。 该 参数 是 可 选 
的 ,并 且 仅 对 “分 钟 ”或 “小 时 "计划 有 效 。 

(18) /sd StartDate: 指定 任务 计划 开始 的 日 期 。 默 认 值 为 本 地 计算 机 上 的 当前 日 
期 。/sd 参数 对 于 所 有 计划 类 型 均 有 效 , 并 且 是 可 选 的 。StartDate 参数 的 格式 随 着 “控制 
面板 ”的 “区 域 和 语言 选项 "中 为 本 地 计算 机 选择 的 区 域 设置 而 变化 。 每 个 区 域 设置 只 有 一 
种 有 效 的 格式 。 下 面 列 出 了 有 效 的 日 期 格式 ; 使 用 与 本 地 计算 机 “控制 面板 ”的 “区 域 和 语 
言 选项 ”中 为 “ 短 日 期 "所 选 格 式 最 为 相似 的 格式 ,MM/DD/YYYY 用 于 以 月 开头 的 格式 , 例 
如 英语 (美国 ) 和 西班牙 语 ( 巴 拿 马 ); DD/ MM/YYYY 用 于 以 日 开头 的 格式 ,例如 保加利亚 
语 和 荷兰 语 (荷兰 ); YYYY/ MM/DD 用 于 以 年 开头 的 格式 ,例如 瑞典 语 和 法 语 ( 加 拿 大 )。 

(19) /ed EndDate: 指定 计划 结束 的 日 期 。 此 参数 是 可 选 的 。 对 于 ONCE、 
ONSTART ONLOGON 或 ONIDLE 计划 无 效 。 默 认 情 况 下 ,计划 没有 结束 日 期 。 
EndDate 参数 的 格式 随 着 “控制 面板 ”的 “区 域 和 语言 选项 ”中 为 本 地 计算 机 选择 的 区 域 设 置 
而 变化 。 每 个 区 域 设 置 只 有 一 种 有 效 的 格式 。 下 面 列 出 了 有 效 的 日 期 格式 : 使 用 与 在 本 地 


41 


@。。 
网 络 管理 与 工具 软件 应 用 


计算 机 控制 面板 的 “区 域 和 语言 选项 ”中 为 “ 短 日 期 选择 的 格式 最 为 相似 的 格式 , MM/DD/ 
YYYY 用 于 以 月 开头 的 格式 ,例如 英语 (美国 ) 和 西班牙 语 (巴拿马 ); DD/MM/YYYY 用 于 
以 日 开头 的 格式 ,例如 保加利亚 语 和 荷兰 语 (荷兰 ); YYYY/ MM/DD 用 于 以 年 开头 的 格 
式 , 例 如 瑞典 语 和 法 语 ( 加 拿 大 )。 

(20) Vit: 指定 只 有 在 “运行 方式 ”用 户 ( 运 行 任务 的 用 户 账户 ) 登 录 到 计算 机 的 情况 下 
才 和 运行 任务 。 此 参数 不 影响 使 用 系统 权限 运行 的 任务 。 默 认 情 况 下 ,在 计划 任务 时 或 使 用 
/u 参数 指定 账户 (如 果 使 用 该 参数 ) 时 “运行 方式 "用 户 将 是 本 地 计算 机 的 当前 用 户 。 但 
是 ,如 果 该 命令 包含 /ru 参数 ,“ 运 行 方式 "用 户 则 是 由 /ru 参数 指定 的 账户 。 

(21) /Z: 指定 在 任务 计划 完成 时 删除 任务 。 

(22) /F: 指定 如 果 指 定 任务 已 经 存在 ,就 创建 任务 并 取消 警告 。 

2. 计划 任务 间隔 数 分 钟 运行 

该 命令 的 基本 语法 如 下 。 

schtasks /create /tn TaskName /tr TaskRun /sc minute [/mo {1 - 1439)] [/st HH: MM] [/sd 

StartDate] [/ed EndDate] [et HH:MM | /du HHHH:MM) [/k]] [/id [/ru {[Domain\] User [/rp 

Password] | System)] [/s Computer [/u [Domain\] User [/p Password]]] 

提示 : 在 一 个 分 钟 计划 中 ,/sc minute 参数 是 必需 的 。/mo( 修 饰 符 ) 参 数 是 可 选 的 , 指 
定 了 每 次 运行 任务 之 间 间 隔 的 分 钟 数 。/mo 的 默认 值 为 1( 每 分 钟 )。/et( 结 束 时 间 ) 和 /du 
(持续 时 间 ) 参 数 是 可 选 的 ,并 且 可 与 或 不 与 /k( 结 束 任务 ) 参 数 一 起 使 用 。 

3， 计划 任务 间隔 数 小 时 运行 

(1) 小 时 计划 语法 

该 命令 的 基本 语法 如 下 。 

schtasks /create /tn TaskName /tr TaskRun /sc hourly [/mo {1 - 23)] [/st HH: MM] [/sd 

StartDate] [/ed EndDate] [{/et HH:MM | /du HHHH:MM) [/k]] [/it [/ru {[Domain\] User 

[/rp Password] | System)})] [/s Computer [/u [Domain\]User [/p Password]]] 

提示 : 在 一 个 小 时 计划 中 ,/sc hourly 参数 是 必需 的 。/mo( 修 饰 符 ) 参 数 是 可 选 的 , 指 
定 了 每 次 运行 任务 之 间 间 隔 的 小 时 数 。/mo 的 默认 值 为 1( 每 小 时 )。/k( 结 束 任务 ) 参 数 是 
可 选 的 ,并 且 可 与 /et( 指 定时 间 结 束 ) 或 /du( 指 定时 间 间 隔 后 结束 ) 一 起 使 用 。 

(2) 每 日 计划 语法 

该 命令 的 基本 语法 如 下 。 

schtasks /create /tn TaskName /tr TaskRun /sc daily [/mo {1 - 365)] [/st HH: MM] [/sd 

ih /ed aadard] Eid] Cra 4lDomdind] ger /ip sara | Spatemn)) LE/e Gonpuier 

LA CDomalnN Up 让 

提示 : 在 每 日 计划 中 ,/sc daily 参数 是 必需 的 。/mo( 修 饰 符 ) 参 数 是 可 选 的 ,指定 了 每 
次 运行 任务 之 间 间 隔 的 天 数 。/mo 的 默认 值 为 1( 每 天 ) 。 

4. 计划 任务 间隔 数 周 运行 

该 命令 的 基本 语法 如 下 。 

schtasks /create /tn TaskName /tr TaskRun /sc weekly [/mo {1- 52}] [/d {MON - SUN[, MON - 


SUN...]| *}] Ust HH: MM] [/sd StartDate] [/ed EndDate] [/it] [/ru {LDomain\] User [/rp 
Password] | System}] [/s Computer [/u [Domain\|User [/p Password]]] 
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提示 : 在 周 计划 中 ,/sc weekly 参数 是 必需 的 。/mo( 修 饰 符 ) 参 数 是 可 选 的 ,指定 了 每 
次 运行 任务 之 间 间 隔 的 周 数 。/mo 的 默认 值 为 1( 每 周 )。 周 计划 也 拥有 一 个 可 选 的 /d 参 
数 , 用 于 计划 任务 在 一 周 的 指定 天 或 所 有 天 (*) 运 行 。 上 默认 值 为 MON( 星 期 一 )。 每 天 
(# ) 选 项 相当 于 计划 每 日 任务 。 

5. 计划 任务 间隔 数 月 运行 

该 命令 的 基本 语法 如 下 。 

schtasks /create /tn TaskName /tr TaskRun /sc monthly [/mo {1 - 12})] [/d {1- 31}] [/st HH: 

MMI] [/sd StartDate] [/ed EndDate] [/it] [/ru {[Domain\] User [/rp Password] | System}] [/s 

Computer [/u [Domain\] User [/p Password]]] 

提示 : 在 此 计划 类 型 中 ,/sc monthly 参数 是 必需 的 。/mo( 修 饰 符 ) 参 数 指定 每 次 运行 
任务 之 间 的 月 份 数 ,是 可 选 的 ,默认 值 为 1( 每 月 )。 此 计划 类 型 也 拥有 一 个 可 选 的 /d 参数 ， 
用 于 计划 任务 在 月 份 的 指定 日 期 运行 。 默认 值 是 1( 月 份 的 第 一 天 )。 

6. 计划 任务 在 周 的 指定 天 运行 

该 命令 的 基本 语法 如 下 。 

schtasks /create /tn TaskName /tr TaskRun /sc weekly [/d {MON - SUN[, MON - SUN...]| *)] 


[/mo {1- 52}] [/st HH: MM] [/sd StartDate] [/ed EndDate] [/it] [/ru {[Domain\] User [/rp 
Password] | System)] [/s Computer [/u [Domain\]User [/p Password]]] 


提示 :“ 周 的 天 ”计划 是 周 计划 的 变 体 。 在 周 计划 中 ,/sc weekly 参数 是 必需 的 。/mo 
(修饰 符 ) 参 数 是 可 选 的 ,指定 了 每 次 运行 任务 之 间 间 隔 的 周 数 。/mo 的 默认 值 为 1( 每 
周 )。/d 参数 是 可 选 的 ,计划 任务 在 周 的 指定 天 或 所 有 天 (#*) 运 行 。 默 认 值 为 MON( 星 期 
一 )。 每 天 选项 (/d * ) 相 当 于 计划 每 日 任务 。 

7. 计划 任务 在 月 份 的 指定 周 运行 

该 命令 的 基本 语法 如 下 。 

schtasks /create /tn TaskName /tr TaskRun /sc monthly /mo {FIRST | SECOND | THIRD | 

FOURTH | LAST} /d MON - SUN [/m {JAN - DECL,JAN - DEC...]| *)] [/st HH:MM] [/sd 


StartDate] [/ed EndDate] [/it] [/ru {[Domain\] User [/rp Password] | System}] [/s Computer 
[/u [Domain\] User [/p Password]]] 


提示 : 在 此 计划 类 型 中 ,/sc monthly 参数 、/mo( 修 饰 符 ) 参 数 以 及 /d( 天 ) 参 数 是 必需 
的 。/mo( 修 饰 符 ) 参 数 指定 任务 运行 的 周 。/d 参数 指定 一 周 中 的 第 几 天 。( 可 以 仅 为 此 计 
划 类 型 指定 一 周 中 的 某 一 天 。) 此 计划 也 拥有 一 个 可 选 的 /m( 月 份 ) 参 数 ,用 于 针对 特定 月 份 
计划 任务 。 

8. 计划 任务 在 每 月 的 特定 日 期 运行 

该 命令 的 基本 语法 如 下 。 

schtasks /create /tn TaskName /tr TaskRun /sc monthly /d {1 - 31} [/m {JAN - DEC[,JAN - 

DEC..]| * 门 Ust HH: MM] [/sd StartDate] [/ed EndDate] [/it] [/ru {[Domain\] User [/rp 

Password] | System}] [/s Computer [/u [Domain\]User [/p Password]]] 

提示 : 在 特定 日 期 计划 类 型 中 ,/sc monthly 参数 和 /d( 天 ) 参 数 是 必需 的 。/d 参数 指定 
月 份 的 日 期 (1 一 31) ,而 不 是 周 的 天 。 可 以 在 计划 中 仅 指 定 一 天 。/mo( 修 饰 符 ) 参 数 对 此 计 
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划 类 型 无 效 。/m( 月 份 ) 参 数 对 此 计划 类 型 而 言 是 可 选 的 ,默认 值 为 每 个 月 (* )。schtasks 
不 允许 针对 在 /m 参数 指定 的 月 份 中 不 出 现 的 日 期 计划 任务 。 但 是 ,如 果 和 忽略 /m 参数 ,并 
针对 不 是 在 每 个 月 中 出 现 的 日 期 (如 31 日 ) 计 划 任 务 , 则 该 任务 不 会 在 较 短 的 月 份 发 生 。 要 
针对 月 份 的 最 后 一 天 计划 任务 ,请 使 用 最 后 一 天 计划 类 型 。 

9. 计划 任务 在 月 份 的 最 后 一 天 运行 

该 命令 的 基本 语法 如 下 。 

schtasks /create /tn TaskName /tr TaskRun /sc monthly /mo LASTDAY /m {JAN - DEC[,JAN - 

DEC...]}[L/st HH: MM] [/sd StartDate] [/ed EndDate] [/it] [/ru {[Domain\] User [/rp Password] | 

System 中 [/s Computer [/u [Domain\] User [/p Password]]] 

提示 : 在 最 后 一 天 计划 类 型 中 ,/sc monthly 参数 /mo LASTDAY (修饰 符 ) 参 数 以 及 
/m( 月 份 ) 参 数 是 必需 的 。/d( 天 ) 参 数 无 效 。 

10. 计划 任务 运行 一 次 

该 命令 的 基本 语法 如 下 。 

schtasks /create /tn TaskName /tr TaskRun /sc once /st HH : MM [/sd StartDate] [/it] [/ru 

{[Domain\] User [/rp Password] | System)] [/s Computer [/u [Domain\] User [/p Password]]] 

提示 : 在 运行 一 次 计划 类 型 中 ,/sc once 参数 是 必需 的 。/st 参数 (指定 任务 运行 时 间 ) 
是 必需 的 。/sd 参数 (指定 任务 运行 的 日 期 ) 是 可 选 的 。/mo( 修 饰 符 ) 和 /ed( 结 束 日 期 ) 参 数 
对 此 计划 类 型 无 效 。 如 果 根 据 本 地 计算 机 的 时 间 , 指 定 的 日 期 和 时 间 已 经 过 去 ,schtasks 就 
不 允许 计划 任务 运行 一 次 。 要 在 不 同时 区 的 远程 计算 机 上 计划 任务 运行 一 次 ,必须 在 本 地 
计算 机 上 的 日 期 和 时 间 到 来 之 前 计划 任务 。 

11. 计划 任务 在 每 次 系统 启动 时 运行 

该 命令 的 基本 语法 如 下 。 

schtasks /create /tn TaskName /tr TaskRun /sc onstart [/sd StartDate] [/it] [/ru {[Domain\] User 

[/rp Password] | System}] [/s Computer [/u [Domain\] User [/p Password]]] 

提示 : 在 启动 时 计划 类 型 中 ,/sc onstart 参数 是 必需 的 。/sd( 开 始 日 期 ) 参 数 是 可 选 
的 ,其 默认 值 为 当前 日 期 。 

12. 计划 任务 在 用 户 登录 时 运行 

该 命令 的 基本 语法 如 下 。 

schtasks /create /tn TaskName /tr TaskRun /sc onlogon [/sd StartDate] [/it] [/ru {[Domain\] User 

UL/rp Password] | System}] [/s Computer Lu [Domain\] User [/p Password]]] 

提示 :“ 登 录 时 ”计划 类 型 计划 任务 在 任何 用 户 登 录 到 计算 机 时 运行 。 在 “登录 时 ”计划 
类 型 中 ,/sc onlogon 参数 是 必需 的 。/sd( 开 始 日 期 ) 参 数 是 可 选 的 ,其 默认 值 为 当前 日 期 。 

13. 计划 任务 在 系统 空闲 时 运行 

该 命令 的 基本 语法 如 下 。 


schtasks /create /tn TaskName /tr TaskRun /sc onidle /i {1 - 999) [/sd StartDate] [/it] [/ru 
{[Domain\] User [/rp Password] | System} |] [/s Computer [/u [Domain\| User [/p Password]]] 


提示 :“ 空 闲 时 ”计划 类 型 计划 任务 在 /i 参数 指定 的 时 间 期 间 没有 用 户 活动 时 运行 。 在 
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“空闲 时 ”计划 类 型 中 ,/sc onidle 参数 和 /i 参数 是 必需 的 。/sd( 开 始 日 期 ) 是 可 选 的 ,其 默认 
值 为 当前 日 期 。 

14. 计划 任务 现在 运行 

schtasks 没有 “现在 运行 ”选项 ,但 可 以 模拟 该 选项 ,方法 是 创建 一 个 在 较 短 时 间 内 (如 
几 分 钟 ) 只 运行 一 次 的 任务 。 

该 命令 的 基本 语法 如 下 。 

schtasks /create /tn TaskName /tr TaskRun /sc once [/st HH:MM] /sd MM/DD/YYYY [/it [ru 

{[Domain\] User [/rp Password] | System)] [/s Computer [/u [Domain\] User [/p Password]]] 


15. 计划 任务 以 不 同 权 限 运行 

可 以 计划 各 种 类 型 的 任务 以 备 选 账户 的 权限 在 本 地 计算 机 和 远程 计算 机 上 运行 。 该 命 
令 的 基本 语法 如 下 。 

schtasks /create /tn TaskName /tr TaskRun /sconce [/st HH:MM] /sd MM/DD/YYYY [/it [/ru 

{[Domain\] User [/rp Password] | System})] [/s Computer [/u [Domain\] User [/p Password]]] 

该 命令 中 各 参数 的 含义 如 下 。 

(1) /ru 参数 是 必需 的 ,而 /rp 参数 是 可 选 的 。 

(2) /sc 参数 指定 日 计划 。 

(3) /mo 参数 指定 时 间 间 隔 为 4 天 。 

(4) /s 参数 提供 远程 计算 机 的 名 称 。 

(5) /u 参数 指定 在 远程 计算 机 上 拥有 计划 任务 权限 的 账户 (Marketing 计算 机 上 的 
Admin01) 。 

(6) /ru 参数 指定 任务 应 以 用 户 的 非 Administrator 账户 (Reskits 域 中 的 User01) 权 限 
运行 。 如 果 不 使 用 /ru 参数 ,任务 将 以 /u 指定 的 账户 权限 运行 。 

16. 计划 任务 以 系统 权限 运行 

各 种 类 型 的 任务 都 可 以 用 系统 账户 的 权限 在 本 地 计算 机 和 远程 计算 机 上 运行 。 除 了 特 
定 计划 类 型 所 需 的 参数 之 外 ,/ru system( 或 /ru"") 参 数 也 是 必需 的 ,而 /rp 参数 无 效 。 

提示 : 系统 账户 没有 交互 式 登 录 权 限 。 用 户 无 法 看 到 以 系统 权限 运行 的 程序 或 任务 ， 
也 无 法 与 之 进行 交互 。/ru 参数 确定 运行 任务 的 权限 ,而 不 是 用 来 计划 任务 的 权限 。 只 
Administrators 可 以 计划 任务 ,与 /ru 参数 的 值 无 关 。 

17. 计划 任务 运行 多 个 程序 

每 个 任务 只 能 运行 一 个 程序 ,但 是 可 以 创建 一 个 运行 多 个 程序 的 批 处 理 文件 ,然后 计划 
一 个 任务 来 运行 这 个 批 处 理 文件 。 

18. 计划 任务 在 远程 计算 机 上 运行 

要 计划 任务 在 远程 计算 机 上 运行 ,必须 把 任务 添加 到 远程 计算 机 的 计划 中 。 可 以 在 远 
程 计算 机 上 计划 各 种 类 型 的 任务 ,但 必须 满足 以 下 条 件 。 

(1) 用 户 必须 具有 计划 任务 的 权限 。 因 此 ,必须 以 属于 远程 计算 机 上 Administrators 
组 成 员 的 账户 登录 到 本 地 计算 机 ,或 者 必须 使 用 /u 参数 提供 远程 计算 机 管理 员 的 凭据 。 

(2) 只 有 在 本 地 计算 机 和 远程 计算 机 处 于 同一 个 域 ,或 者 本 地 计算 机 处 于 远程 计算 机 
域 信任 的 域 时 ,才能 使 用 /u 参数 。 否 则 ,远程 计算 机 无 法 对 指定 的 用 户 账户 进行 身份 验证 ， 
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也 无 法 验证 该 账户 是 否 为 Administrators 组 的 成 员 。 

(3) 用 户 必须 具有 足够 的 权限 才能 在 远程 计算 机 上 运行。 不 同 的 任务 要 求 不 同 的 权 
限 。 上 默认 情况 下 ,任务 以 本 地 计算 机 当前 用 户 的 权限 运行 ,或 如 果 使 用 /u 参数 ,任务 就 以 /u 
参数 指定 的 账户 权限 运行 。 但 是 ,可 以 使 用 /ru 参数 以 另 一 个 用 户 账户 的 权限 或 以 系统 权 
限 运行 任务 。 


2.6.2 更 改 任务 属性 


schtasks change 命令 的 主要 功能 如 下 。 

(1) 更 改 一 个 或 多 个 任务 属性 。 

(2) 任务 运行 的 程序 (/tr) 。 

(3) 任务 运行 的 用 户 账户 (/ru) 。 

(4) 用 户 账户 的 密码 (/rp)。 

(5) 将 仅 交 互 属性 添加 到 任务 (Vit) 。 

该 命令 的 基本 语法 如 下 。 

schtasks /change /tn TaskName [/s Computer [/u [Domain\] User [/p Password]]] [/ru {[Domain\] 

User | System 中 [/rp Password] [/tr TaskRun] [/st StartTime] [/ri Interval] [{/et EndTime | /du 

Duration} [/k]] [/sd StartDate] [/ed EndDate] [/{ENABLE | DISABLE}] [/it] [/z] 

该 命令 中 各 参数 的 含义 如 下 。 

(1) /tn TaskName: 标识 要 更 改 的 任务 。 输 入 任务 名 。 

(2) /s Computer: 指定 远程 计算 机 的 名 称 或 IP 地 址 ( 带 有 或 不 带 有 反 斜 本) 。 默 认 值 
是 本 地 计算 机 。 

(3) /u [Domain\] User: 使 用 指定 用 户 账 户 的 权限 运行 该 命令 。 默 认 值 为 本 地 计算 机 
上 当前 用 户 的 权限 。 指 定 的 用 户 账户 必须 是 远程 计算 机 上 Administrators 组 的 成 员 。 只 有 
在 远程 计算 机 (/s) 上 更 改 任务 时 ,/u 和 /p 参数 才 有 效 。 

(4) /p Password: 指定 在 /u 参数 中 指定 的 用 户 账户 的 密码 。 如 果 使 用 /u 参数 ,但 忽 
略 /p 参数 或 密码 参数 ,schtasks 将 提示 输入 密码 。 只 有 使 用 /s 时 ,/u 和 /Pp 参数 才 有 效 。 

(5) /ru {[Domain\]User | System} : 指定 更 改 运行 任务 的 用 户 账 户 。 对 于 指定 Local 
System 账户 ,有 效 项 为 NT AUTHORITY\SYSTEM 或 SYSTEM。 在 更 改 用 户 账户 时 , 同 
时 必须 更 改 用 户 密码 。 如 果 某 个 命令 包含 /ru 参数 ,但 不 包含 /rp 参数 ,schtasks 就 会 提示 
提供 新 密码 。 使 用 本 地 系统 账户 的 权限 运行 任务 不 需要 密码 或 不 提示 输入 密码 。 

(6) /rp Password: 为 现 有 用 户 账户 或 /ru 参数 指定 的 用 户 账户 指定 一 个 新 密码 。 在 
本 地 系统 账户 中 使 用 时 ,此 参数 会 被 忽略 。 

(7) /tr TaskRun: 更 改 任务 运行 的 程序 。 输 入 可 执行 文件 、 肢 本 文件 或 批 处 理 文件 的 
完全 合格 的 路 径 和 文件 名 。 如 果 和 忽略 该 路 径 ,schtasks 将 假定 文件 在 Systemroot\System32 
目录 下 。 指 定 的 程序 替换 任务 运行 的 原始 程序 。 

(8) /st StartTime: 使 用 24 小 时 时 间 格 式 HH: MM 指定 任务 的 开始 时 间 , 例 如 , 值 
14:30 相当 于 12 小 时 时 间 格 式 的 下 午 2:30。 

(9) /ri Interval: 指定 计划 任务 的 重复 间隔 (以 分 钟 计 )。 有 效 范 围 为 1 一 599940 
(599940 分 钟 一 9999 小 时 ) 。 


schtasks change 
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(10) /et EndTime: 使 用 24 小 时 时 间 格 式 HH: MM 指定 任务 的 结束 时 间 , 例 如 , 值 
14:30 相当 于 12 小 时 时 间 格 式 的 下 午 2:30。 

(11) /du Duration: 指定 关闭 EndTime 或 Duration 的 任务 (如 果 指 定 的 话 ) 。 

(12) /在 /et 或 /du 指定 的 时 间 停 止 任务 运行 的 程序 。 如 果 没 有 /kk, schtasks 在 到 达 /et 
或 /du 指定 的 时 间 之 后 不 再 启动 程序 ,但 不 会 停止 仍 在 运行 的 程序 。 此 参数 是 可 选 的 ,并 且 
仅 对 MINUTE 或 HOURLY 计划 有 效 。 

(13) /sd StartDate: 指定 任务 应 运行 的 第 一 个 日 期 。 日 期 格式 为 MM/DD/YYYYY。 

(14) /ed EndDate: 指定 任务 应 运行 的 最 后 一 个 日 期 。 格 式 为 MM/DD/YYYY。 

(15) /ENABLE: 指定 启用 已 计划 的 任务 。 

(16) /DISABLE: 指定 禁用 已 计划 的 任务 。 

(17) /it: 指定 仅 在 “运行 方式 ?用 户 ( 运 行 任务 的 用 户 账户 ) 登 录 到 计算 机 时 才 运 行 已 
计划 的 任务 。 此 参数 不 会 影响 使 用 系统 权限 运行 的 任务 ,也 不 会 影响 已 经 设置 仅 交互 属性 
的 任务 。 不 能 使 用 更 改 命令 从 任务 中 删除 仅 交 互 属 性 。 默 认 情 况 下 ,在 计划 任务 时 或 由 /u 
参数 (如 果 使 用 该 参数 ) 指 定 账户 时 ,运行 方式 ”用 户 将 是 本 地 计算 机 的 当前 用 户 。 但 是 ,如 
果 该 命令 包含 /ru 参数,“ 运行 方式 ”用户 则 是 由 /ru 参数 指定 的 账户 。 

(18) /z: 指定 在 计划 完成 时 删除 任务 。 


2.6.3 ”立即 运行 计划 任务 一 一 schtasks run 


schtasks run 命令 用 于 立即 运行 计划 任务 。run 操作 忽略 计划 ,但 使 用 程序 文件 位 置 、 
用 户 账户 和 保存 在 任务 中 的 密码 立即 运行 任务 。 

该 命令 的 基本 语法 如 下 。 

schtasks /run /tn TaskName [/s Computer [/u [Domain\]User [/p Password]]] 


该 命令 中 各 参数 的 含义 如 下 。 

(1) /tn TaskName: 该 参数 是 必需 的 。 标 识 启 动 程序 的 任务 。 

(2) /s Computer: 指定 远程 计算 机 的 名 称 或 IP 地 址 ( 带 有 或 不 带 有 反 斜 杠 )。 默 认 设 
置 为 本 地 计算 机 。 

(3) /u [Domain\] User: 使 用 指定 用 户 账户 的 权限 运行 该 命令 。 默 认 情 况 下 ,使 用 本 
地 计算 机 当前 用 户 的 权限 运行 该 命令 。 指 定 的 用 户 账 户 必须 是 远程 计算 机 上 
Administrators 组 的 成 员 。 只 有 使 用 /s 时 ,/u 和 /Pp 参数 才 有 效 。 

(4) /p Password: 指定 在 /u 参数 中 指定 的 用 户 账户 的 密码 。 如 果 使 用 /u 参数 ,但 忽 
略 /p 参数 或 密码 参数 ,schtasks 将 提示 输入 密码 。 只 有 使 用 /s 时 ,/u 和 /Pp 参数 才 有 效 。 


2.6.4 停止 由 任务 启动 的 程序 


schtasks end 命令 用 于 停止 由 任务 启动 的 程序 。 
该 命令 的 基本 语法 如 下 。 


schtasks end 


schtasks /end /tn TaskName [/s Computer [/u [DomainN]User [/p Password]]] 


该 命令 中 各 参数 的 含义 如 下 。 
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(1) /tn TaskName: 该 参数 是 必需 的 。 标 识 启动 程序 的 任务 。 

(2) /s Computer: 指定 远程 计算 机 的 名 称 或 IP 地 址 。 默 认 设置 为 本 地 计算 机 。 

(3) /u [Domain\] User: 使 用 指定 用 户 账户 的 权限 运行 该 命令 。 默 认 情 况 下 ,使 用 本 地 
计算 机 当前 用 户 的 权限 运行 该 命令 。 指 定 的 用 户 账户 必须 是 远程 计算 机 上 Administrators 
组 的 成 员 。 只 有 使 用 /s 时 ,/u 和 /p 参数 才 有 效 。 

(4) /p Password: 指定 在 /u 参数 中 指定 的 用 户 账户 的 密码 。 如 果 使 用 /u 参 数 , 但 
忽略 /p 参 数 或 密码 参数 , schtasks 将 提示 输入 密码 。 只 有 使 用 /s 时 ,/u 和 /p 参数 才 


2.6.5 删除 计划 任务 


schtasks delete 命令 用 于 删除 计划 任务 。 
该 命令 的 基本 语法 如 下 。 


schtasks /delete /tn {TaskName | * [/f] [/s Computer [/u [Domain\] User [/p Password]]] 


该 命令 中 各 参数 的 含义 如 下 。 

(1) /tn {TaskName | x*): 该 参数 是 必需 的 。 标 识 要 删除 的 任务 。 值 描述 : TaskName 
删除 已 命名 任务 ; * 删除 计算 机 上 的 所 有 计划 任务 。 

(2) /f: 阻止 确认 消息 。 不 警告 就 删除 任务 。 

(3) /s Computer: 指定 远程 计算 机 的 名 称 或 IP 地 址 ( 带 有 或 不 带 有 反 斜 枉 )。 默 认 设 
置 为 本 地 计算 机 。 

(4) /u [Domain\] User: 使 用 指定 用 户 账户 的 权限 运行 该 命令 。 默 认 情 况 下 ,使 用 本 地 
计算 机 当前 用 户 的 权限 运行 该 命令 。 指 定 的 用 户 账户 必须 是 远程 计算 机 上 Administrators 组 
的 成 员 。 只 有 使 用 /s 时 ,/u 和 /Pp 参数 才 有 效 。 

(5) /p Password: 指定 在 /u 参数 中 指定 的 用 户 账户 的 密码 。 如 果 使 用 /参数 ,但 
忽略 /Pp 参数 或 密码 参数 ,schtasks 将 提示 输入 密码 。 只 有 使 用 /s 时 ,/u 和 /Pp 参数 才 
有 效 。 


schtasks delete 


2.6.6 显示 计划 运行 的 任务 一 一 schtasks query 


schtasks query 命令 用 于 显示 计划 在 计算 机 上 运行 的 任务 。 

该 命令 的 基本 语法 如 下 。 

schtasks [/query] [/fo {TABLE | LIST | CSV}] [/nh] [/v] [/s Computer [/u [Domain\] 

User [/p Password]]] 

该 命令 中 各 参数 的 含义 如 下 。 

(1) [/queryj: 操作 名 称 可 选 。 输 入 不 带 任何 参数 的 schtasks 执行 查询 。 

(2) /fo {TABLE| LIST| CSV)}: 指定 输出 格式 。TABLE 为 默认 值 。 

(3) /nh: 忽略 表格 显示 中 的 列 标题 。 此 参数 对 TABLE 和 CSV 输出 格式 有 效 。 

(4) /v: 将 任务 的 高 级 属性 添加 到 显示 中 。 使 用 /v 的 查询 格式 应 该 设置 为 LIST 
或 CSV。 
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(5) /s Computer: 指定 远程 计算 机 的 名 称 或 IP 地 址 ( 带 有 或 不 带 有 反 斜 杠 )。 默 认 设 
置 为 本 地 计算 机 。 

(6) /u [Domain\] User: 使 用 指定 用 户 账户 的 权限 运行 该 命令 。 默 认 情况 下 ,使 用 本 
地 计算 机 当前 用 户 的 权限 运行 该 命令 。 指 定 的 用 户 账 户 必 须 是 远程 计算 机 上 
Administrators 组 的 成 员 。 只 有 使 用 /s 时 ,/u 和 /Pp 参数 才 有 效 。 

(7) /p Password: 指定 在 /u 参数 中 指定 的 用 户 账户 的 密码 。 如 果 使 用 /u, 但 忽略 /p 
或 密码 参数 ,schtasks 将 提示 输入 密码 。 只 有 使 用 /s 时 ,/u 和 /Pp 参数 才 有 效 。 


2.7 本 地 用 户 和 用 户 组 的 管理 


本 地 用 户 和 用 户 组 都 是 针对 本 地 计算 机 而 言 的 ,与 域 用 户 相对 应 。 通 常情 况 下 ,安装 操 
作 系统 的 同时 就 已 经 创建 了 一 个 本 地 用 户 账户 ,该 用 户 账户 隶属 于 管理 员 组 ,享有 较 多 的 系 
统 操作 和 管理 权限 。 使 用 过 程 中 ,还 可 以 根据 需要 以 系统 管理 员 的 名 义 创 建 多 个 本 地 用 户 
和 用 户 组 ,分 别 赋予 不 同 的 操作 权限 即 可 。 


2.7.1 创建 本 地 用 户 账户 


在 将 Windows Server 2008 计算 机 升级 到 域 控制 器 之 前 ,可 以 使 用 “计算 机 管理 ”控制 
台 来 创建 本 地 用 户 账户 。 

(1) 依次 选择 “开始 ”一 “管理 工具” 一 “计算 机 管理 ”命令 ,显示 图 2-52 所 示 的 “计算 机 
管理 ”控制 台 窗 口 。 

(2) 在 左 侧 控 制 台 树 中 ,依次 展开 “系统 工具 ”>“ 本 地 用 户 和 组 >“ 用户” 目录 ,在 右 侧 
的 空白 窗口 中 右 击 , 在 快捷 菜单 中 选择 “新 用 户 ” 命 令 , 显 示 图 2-53 所 示 的 “新 用 户 ” 对 话 框 。 
在 “用 户 名 "文本 框 中 输入 和 欲 创建 的 用 户 名 ,在 “密码 ”和 ”确认 密码 "文本 框 中 输入 为 新 用 户 
设置 的 密码 。 需 要 注意 的 是 ,这 里 所 设置 的 密码 必须 满足 密码 要 求 。 在 下 方 还 有 4 个 复 选 
框 ,含义 分 别 如 下 。 
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图 2-52 “计算 机 管理 "窗口 图 2-53 “新 用 户 ” 对 话 框 
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“用 户 下 次 登录 时 须 更 改 密码 : 如 果 选 中 此 复 选 框 , 则 当 使 用 该 用 户 名 在 下 次 登录 
时 ,Windows 会 提示 用 户 更 改 密码 。 

@“ 用 户 不 能 更 改 密码 : 如 果 选 中 此 复 选 框 , 则 用 户 将 一 直 使 用 在 “密码 ”文本 框 中 设 
置 的 密码 。 

@“ 密 码 水 不 过 期 : 如 果 选 中 此 复 选 框 , 则 在 使 用 此 用 户 登 录 计算 机 的 过 程 中 ,密码 将 
永久 有 效 。 

@“ 账 户 已 禁用 : 如 果 选 中 此 复 选 框 , 则 此 用 户 账户 将 不 能 再 用 来 登录 计算 机 。 

(3) 单 击 “ 创 建 "按钮 ,完成 一 个 用 户 的 创建 。 重 复 操作 ,可 添加 多 个 用 户 。 最 后 , 单 击 
“关闭 ”按钮 返回 “计算 机 管理 "窗口 即 可 。 

在 创建 用 户 的 过 程 中 ,需要 注意 如 下 事项 。 

(1) 用 户 名 不 能 与 被 管理 的 计算 机 的 主机 名 以 及 其 他 用 户 或 组 名 相同 。 用 户 名 最 多 可 
以 包含 20 个 大 写 或 小 写字 符 ,但 不 能 包含 " /、\[、]、:、、| =、 十.*、?、 忆 、> 字 符 。 用 
户 名 也 不 能 只 由 句点 (. ) 和 空格 组 成 。 

(2) 在 “密码 "和 “确认 密码 ”文本 框 中 ,可 以 输入 包含 不 超过 127 个 字符 的 密码 。 但 是 ， 
如 果 网 络 中 包含 运行 Windows 95 或 Windows 98 的 计算 机 ,建议 使 用 不 超过 14 个 字符 的 
密码 ,如 果 密 码 过 长 ,可 能 无 法 从 这 些 计算 机 登录 网 络 。 

(3) 创建 用 户 时 ,“ 用 户 下 次 登录 时 须 更 改 密码 ”和 “用 户 不 能 更 改 密码 ”“ 密 码 永 不 过 
期 " 复 选 框 不 能 同时 选中 。 


2.7.2 设置 本 地 用 户 账户 的 属性 


用 户 账户 不 只 包括 用 户 名 、 密 码 等 信息 ,为 了 管理 和 使 用 的 方便 ,还 应 包括 用 户 属于 的 用 
户 组 .用户 配 置 文件 ,用户 的 拨 入 权限 .终端 权限 设置 等 ,从 而 使 管理 员 对 用 户 的 管理 更 加 完善 。 
在 “本 地 用 户 和 组 ”的 右 侧 窗口 中 ,双击 某 用 户 , 即 mmmemeaa 
可 显示 该 用 户 属性 对 话 框 ,如 图 2-54 所 示 。 全 全 全 
其 中 ,常规 ”“ 素 属于 ”“ 配 置 文件 "“ 拨 入 "选项 吉大 
卡 中 是 用 户 的 普通 属性 ,“ 远 程控 制 "“ 终 端 服务 配置 so FE 
文件 ”“ 环 境 ”、“ 会 话 ”选项 卡 中 是 有 关 终 端 服务 的 用 


PT 


户 属性 ,只 有 在 安装 了 终端 服务 之 后 才 会 出 现 。 RCR 人 
1.“ 常 规 ” 选 项 卡 由 


在 “常规 ”选项 卡 中 ,与 创建 用 户 时 的 大 部 分 选项 
相同 ,除了 在 创建 用 户 时 的 4 个 复 选 框 之 外 ,还 包括 一 
个 “账户 已 锁定 ” 复 选 框 ,这 一 复 选 框 是 只 有 在 用 户 被 


锁定 时 (用 户 输入 密码 的 错误 次 数 达到 锁定 要 求 时 )， i 
可 以 在 “常规 ”选项 卡 解除 锁定 。 图 2-54 修改 用 户 属性 


2.“ 隶 属于 "选项 卡 

在 “隶属 于 ?选项 卡 中 , 列 出 了 当前 用 户 属于 哪个 用 户 组 。 为 了 管理 的 方便 ,通常 都 是 对 
用 户 组 进行 权限 的 分 配 与 设置 ,用 户 属于 哪 一 个 用 户 组 ,就 具有 相应 用 户 组 的 权限 。 新 创建 
的 默认 用 户 组 是 Users, 如 图 2-55 所 示 ,管理 员 可 以 通过 单 击 “添加 ”按钮 ,将 用 户 添加 到 某 
一 个 或 几 个 用 户 组 中 ,也 可 以 单 击 "删除 ?按钮 将 用 户 从 一 个 或 几 个 用 户 组 中 删除 。 
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添加 用 户 组 的 操作 如 下 。 

(1) 单 击 “ 添 加 ”按钮 ,显示 “选择 组 ”对 话 框 。 单 击 “ 高 级 "按钮 然后 单 击 “ 立 即 查 找 ” 按 
钮 ,开始 搜索 当前 计算 机 上 的 所 有 用 户 组 并 在 “搜索 结果 ”列表 中 显示 ,如 图 2-56 所 示 。 使 
用 Ctrl 键 或 Shift 键 ,可 以 选择 多 个 用 户 组 。 


| | 
图 2-55 “隶属 于 "选项 卡 图 2-56 选择 用 户 组 


(2) 连续 单 击 * 确 定 "按钮 ,返回 到 用 户 属性 对 话 框 即 可 。 
3.“ 配 置 文件 "选项 卡 
在 * 配 置 文件 ”选项 卡 中 ,可 以 设置 用 户 的 配置 文件 来 路 径 和 选择 用 户 的 登录 脚本 以 及 
用 户 的 主 文件 夹 ,如 图 2-57 所 示 。 
在 设置 登录 脚本 时 ,注意 如 下 问题 。 
(1) 登录 脚本 可 能 包含 恶意 命令 。 建 议 在 向 用 户 “ma 


指派 登录 脚本 之 前 , 先 熟 悉 脚本 的 内 容 。 a en EY sa 
(2) 存储 在 本 地 计算 机 上 的 登录 脚本 , 仅 适用 于 登 【RE 
录 到 本 地 计算 机 的 用 户 。 swoon 
(3) 本 地 登录 脚本 必须 存储 在 指定 共享 文件 攻关 | 


夹 (Netlogon) 或 者 该 共享 文件 夹 的 子 文件 夹 中 。 如 果 
该 文件 夹 不 存在 ,必须 手动 创建 该 文件 夹 并 设置 为 共享 。 
要 指定 Netlogon 文件 夹 的 子 文件 夹 中 存储 的 登录 脚本 ， 
必须 在 文件 名 前 面 使 用 该 文件 夹 的 相对 路 径 。 例 如 ,要 
将 存储 在 \\ComputerName\Netlogon\FolderName 中 


的 登录 脚本 Startup. bat 指派 给 本 地 用 户 , 在 “登录 肢 Ee mae al | 
本 ”文本 框 中 输入 FolderName\Startup. bat。 图 2-57 “配置 文件 ”选项 卡 


在 设置 主 文件 夹 时 ,注意 如 下 问题 。 

(1)“ 我 的 文档 ”提供 了 到 主 文件 夹 的 一 个 便捷 替代 方式 ,但 并 不 能 替代 这 些 主 文件 夹 。 
每 个 用 户 在 启动 卷 中 都 有 一 个 对 应 的 “我 的 文档 "文件 夹 。 要 确定 用 户 的 “我 的 文档 "文件 夹 
的 位 置 , 作 为 该 用 户 登 录 , 单 击 “ 开 始 ” 按 钮 . 右 击 “ 我 的 文档 "选项 ,选择 “属性 "命令 ,查看 在 


号 
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“目标 文件 夹 ” 选 项 卡 上 指定 的 位 置 。 


(2) 要 更 改 “ 我 的 文档 "文件 夹 的 目标 文件 夹 位 置 , 单 击 “ 开 始 ” 按 钮 , 右 击 “我 的 文档 ” 选 
项 ,再 选择 “属性 "命令 。 在 “目标 文件 夹 ”选项 卡 的 “目标 文件 夹 位 置 " 文 本 框 中 输入 新 的 文 


件 夹 位 置 。 一 

(3) 如 果 未 指派 主 文件 夹 ,系统 将 为 用 户 账户 指派 ”| el |i] 
一 个 默认 的 本 地 主 文件 夹 (在 系统 盘 根 目录 下 ,也 就 是 J 人 人 人 
安装 操作 系统 文件 的 初始 目录 )。 Ee 

(4) 要 指定 主 文件 夹 的 网 络 路 径 , 首 先 必 须 创建 共 | emson ee 
享 资源 ,然后 设置 允许 用 户 访问 的 足够 权限 。 Ba 

4.“ 拨 入 "选项 卡 一 

在 “ 拨 入 ”选项 卡 中 ,可 以 进行 用 户 的 远程 访问 相 | 居 watupisaamani ER | 
关 的 权限 设置 ,如 图 2-58 所 示 。 远 程 访问 是 网 络 服务 | mn ma 
器 管理 的 常用 方式 ,例如 VPN 接 人 方式 。 在 “ 拔 入 " 选 ” 
项 卡 中 可 以 对 远程 管理 用 户 的 操作 权限 进行 设置 。 | 


2.7.3 ”修改 用 户 名 或 密码 国 2509 ~“ 撤 人 "站 项 尺 

通常 情况 下 ,为 了 网 络 管理 的 安全 ,需要 将 系统 管理 员 账 户 (Administrator) 进行 重合 
名 。 另 外 ,网 络 管理 或 其 他 应 用 过 程 中 (如 用 户 对 为 其 设置 的 用 户 名 不 满意 时 ) ,也 需要 修改 
用 户 账 户 名 称 。 当 用 户 忘 记 登 录 密 码 时 ,可 以 使 用 具有 管理 员 身 份 的 用 户 账户 登录 计算 机 ， 
对 忘记 密码 的 用 户 设置 新 的 密码 。 

修改 用 户 名 的 操作 非常 简单 ,在 “计算 机 管理 ”窗口 的 “用 户 ? 列 表 中 右 击 想 要 更 名 的 用 
户 账户 ,选择 “ 重 命名 ”命令 ,并 输入 新 的 用 户 名 即 可 。 

修改 用 户 账户 密码 的 具体 操作 步骤 如 下 。 

(1) 在 “计算 机 管理 "窗口 中 , 右 击 想 要 修改 密码 的 用 户 , 以 用 户 czc 为 例 , 在 快捷 菜单 中 
选择 “设置 密码 ”命令 ,显示 图 2-59 所 示 的 警告 对 话 框 。 

(2) 单 击 “ 继 续 ” 按 钮 ,显示 图 2-60 所 示 的 “为 czc 设置 密码 ”对话 框 。 在 “新 密码 ”和 ”* 确 
认 密 码 ” 文 本 框 中 输入 新 设置 的 密码 。 

(3) 单 击 “ 确 定 ” 按 钮 ,显示 图 2-61 所 示 的 “本 地 用 户 和 组 ”对 话 框 ,提示 密码 修改 成 功 。 


划 | 
于 中 半生 3 
Re 和 图 2-60 输入 新 设置 的 密码 
人 CETTE | 
|， 只 是 相间 必 它 ， 攻 户 应 该 登录 ， 找 CTELALTHIELETE 蕉 后 
A [i ERE. 
[el _w | ww | CJ 


图 2-59 警告 对 话 框 图 2-61 成 功 修改 用 户 密码 


(4) 单 击 “ 确 定 ” 按 钮 ,关闭 该 对 话 框 即 可 。 
注意 : 在 修改 用 户 名 后 ,新 修改 的 用 户 名 保留 原 用 户 名 的 密码 等 相关 信息 ,只 是 登录 用 


户 名 做 了 修改 。 


2.7.4 默认 的 本 地 用 户 组 


为 了 管理 的 方便 ,Windows Server 2008 已 经 创建 了 一 些 本 地 用 户 组 ,默认 的 用 户 组 主 
要 用 来 完成 日 常 的 管理 工作 。 默 认 的 用 户 组 的 权限 如 表 2-5 所 示 。 


表 2-5 Windows Server 2008 默认 的 用 户 组 的 权限 


描 述 


eo@ 
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默认 用 户 权利 


Administrators 


该 组 的 成 员 具 有 对 服务 器 的 完全 控制 
权限 ,并 且 可 以 根据 需要 向 用 户 指 派 用 
户 权利 和 权限 。 管 理 员 账 户 也 是 默认 
成 员 。 当 该 服务 器 加 入 域 中 时 ,组 会 自 
动 添 加 到 该 组 中 。 由 于 该 组 可 以 完全 
控制 服务 器 ,所 以 向 该 组 添加 用 户 时 应 
谨慎 


从 网 络 访问 此 计算 机 ; 调整 某 个 进程 的 内 
存 配 额 ; 允许 本 地 登录 ; 允许 通过 终端 服 
务 登 录 ; 备份 文件 和 目录 ; 跳 过 遍历 检查 ; 
更 改 系 统 时 间 ; 更 改 时 区 ; 创建 页 面 文件 ; 
创建 全 局 对 象 ; 创建 符号 链接 ; 调试 程序 ; 
从 远程 系统 强制 关机 ; 身份 验证 后 模拟 客 
户 端 ; 提高 日 程 安排 的 优先 级 ; 加 载 和 外 
载 设备 驱动 程序 ; 作为 批 处 理 作 用 登录 ; 
管理 审核 和 安全 日 志 ; 修改 固件 环境 变 
量 ; 执行 卷 维 护 任务 ; 配置 单一 进程 ; 配 
置 系统 性 能 ; 从 扩展 坞 中 取出 计算 机 ; 恢 
复 文件 和 目录 ; 关闭 系统 ; 取得 文件 或 其 
他 对 象 的 所 有 权 


Backup Operators 


该 组 的 成 员 可 以 备份 和 还 原 服务 器 上 
的 文件 ,而 不 管 保护 这 些 文件 的 权限 。 
这 是 因为 执行 备份 任务 的 权利 要 高 于 
所 有 文件 权限 。 他 们 不 能 更 改 安全 
设置 


通过 网 络 访问 此 计算 机 ; 允许 本 地 登录 ; 
备份 文件 和 目录 ; 跳 过 遍历 检查 ; 作为 批 
处 理 登 录 ; 还 原文 件 和 目录 ; 关闭 系统 


Cryptographic 


©, 已 授权 此 组 的 成 员 招 待 加 密 操 作 没有 默认 的 用 户 权利 

Dperators 

Distributed 允许 此 组 的 成 员 在 计算 机 上 启动 .激活 > 

COM Users 和 使 用 DCOM 对 象 六 有 有 陵 视 的 朋 户 权利 
该 组 的 成 员 拥 有 一 个 在 登录 时 创建 的 

临时 配置 文件 ,在 注销 时 ,该 配置 文件 

Guests 将 被 删除 。 来 宾 账 户 (默认 情况 下 已 禁 没有 默认 的 用 户 权利 
用 ) 也 是 该 组 的 默认 成 员 

TIS_IUSRS Intemet 信息 服务 (TS) 使 用 的 内 | 没有 默认 的 用 户 权利 

Network 该 组 的 成 员 可 以 更 改 TCP/IP 设置 并 更 

Configuration 新 和 发 布 TCP/IP 地 址 。 该 组 中 没有 默 | 没有 默认 的 用 户 权利 

Operators 认 的 成 员 
该 组 的 成 员 可 以 从 本 地 服务 器 和 远 

Performance 程 客户 端 监视 性 能 计数 器 ,而 不 用 成 没有 上 默认 的 用 户 权利 


Monitor Users 


为 Administrators 或 Performance Log 


Users 组 的 成 员 
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续 表 


组 描 述 默认 用 户 权 利 


该 组 的 成 员 可 以 从 本 地 服务 器 和 远程 
客户 端 管理 性 能 计数 器 .日 志和 警报 ，| 没有 默认 的 用 户 权 利 
而 不 用 成 为 Administrators 组 的 成 员 


默认 情况 下 ,该 组 的 成 员 拥有 不 高 于 标 
准 用 户 账户 的 用 户 权利 或 权限 。 在 早 
期 版 本 的 Windows 中 ,Power Users 组 
专门 为 用 户 提供 特定 的 管理 员 权 利和 
权限 执行 常见 的 系统 任务 。 在 此 版 本 
Windows 中 ,标准 用 户 账户 具有 执行 最 
Power Users 常见 配置 任务 的 能 力 , 例 如 更 改 时 区 。| 没有 默认 的 用 户 权 利 
对 于 需要 与 早期 版 本 的 Windows 相同 
的 Power User 权利 和 权限 的 旧 应 用 程 
序 ,管理 员 可 以 应 用 一 个 安全 模板 ,此 
模板 可 以 启用 Power Users 组 ,以 假设 
具有 与 早期 版 本 的 Windows 相同 的 权 
利和 权限 


该 组 的 成 员 可 以 远程 登录 服务 器 允许 通过 终端 服务 登录 


Replicator 组 支持 复制 功能 。Replicator 
组 的 唯一 成 员 应 该 是 域 用 户 账户 ,用 于 
Replicator 登录 域 控制 器 的 “复制 程序 "服务 。 不 | 没有 默认 的 用 户 权利 
能 将 实际 用 户 的 用 户 账 户 添加 到 该 
组 中 


该 组 的 成 员 可 以 执行 一 些 常见 任务 , 例 
如 运行 应 用 程序 .使 用 本 地 和 网 络 打印 
机 以 及 锁定 服务 器 。 用 户 不 能 共享 目 
录 或 创建 本 地 打印 机 。 默 认 情 况 下 ， 
Domain Users、Authenticated Users 以 
及 Interactive 组 是 该 组 的 成 员 。 因 此 ， 
在 域 中 创建 的 任何 用 户 账户 都 将 成 为 
该 组 的 成 员 


提供 远程 协助 | 该 组 的 成 员 可 以 向 此 计算 机 用 户 提供 
帮助 程序 远程 协助 


Performance 
Log Users 


Remote Desktop 
Users 


从 网 络 访问 此 计算 机 ; 允许 本 地 登录 ; 忽 
略 遍历 检查 ; 更 改 时 区 ; 增加 进程 工作 集 ; 
从 扩展 坞 中 取出 计算 机 ; 关闭 系统 


Users 


没有 默认 的 用 户 权利 


2.7.5 向 组 中 添加 用 户 


将 用 户 添加 到 组 ,主要 是 用 于 将 大 批 用 户 添 加 到 一 个 用 户 组 。 如 果 只 是 提升 一 个 用 户 
的 权限 ,可 以 在 用 户 属性 中 选择 添加 一 个 或 多 个 用 户 组 。 这 里 以 向 Administrators 用 户 组 
中 添加 用 户 账户 进行 介绍 。 

(1) 在 “计算 机 管理 ”窗口 中 , 右 击 Administrators 用 户 组 ,在 快捷 菜单 中 选择 “属性 ” 命 
邻 , 显 示 “Administrators 属性 ”对 话 框 。 

(2) 单 击 “ 添 加 ”按钮 ,显示 图 2-62 所 示 的 “选择 用 户 ” 对 话 框 。 

(3) 单 击 “ 高 级 ”按钮 ,显示 “选择 用 户 ” 的 高 级 功能 。 单 击 “ 立 即 查 找 ” 按 钮 ,将 查找 系统 
中 所 有 的 用 户 , 如 图 2-63 所 示 。 从 “搜索 结果 ”列表 中 ,选择 将 要 添加 到 Administrators 的 
用 户 账户 。 


EE 
选 样 兹 对 多 类 型 全 ) 
RR 
i 


天 村 
入 和 对象 名 入 来 寺 反 正人) 
Em rads 


Er mn 


ee 图 
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图 2-62 “选择 用 户 " 对 话 框 


图 2-63 选择 用 户 


(4) 连续 单 击 “确定 "按钮 ,返回 到 “Administrators 属性 "对话 框 ,用 户 已 经 添加 到 该 组 


中 ,如 图 2-64 所 示 。 


(5) 单 击 “确定 ”按钮 ,保存 返回 “计算 机 管理 ”窗口 即 可 。 


2.7.6 创建 本 地 用 户 组 


通常 情况 下 ,系统 默认 的 用 户 组 已 经 能 够 满足 需 


。 但 是 ,为 了 管理 更 加 方便 ,或 者 完 


成 其 他 的 管理 ,或 者 一 些 特殊 的 情况 下 ,还 需要 创建 一 些 用 户 组 。 

从 “计算 机 管理 ”窗口 中 ,依次 展开 “本 地 用 户 和 组 ”>“ 组 ”目录 ,在 右边 的 空白 窗 格 中 右 
击 ,在 快捷 菜单 中 选择 “新 建 组 ”命令 ,显示 图 2-65 所 示 的 “新 建 组 ”对 话 框 。 在 “组 名 ”和 * 描 
述 "文本 框 中 分 别 输入 组 名 及 描述 信息 , 单 击 "创建 "按钮 即 可 以 完成 创建 。 


| 
1c: 
ET 
Em 
so | 于 于 全 寻 儿 re 
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图 2-64 “Administrators 属性 ”对 话 框 


2.8 网络 配置 与 协议 管理 


EE 了 9 
组 名 9): [Fein 
SEO | 
大 
ET | 可 
开动 00) [CD WE 


图 2-65 “新 建 组 "对话 框 


服务 器 是 整个 网 络 的 核心 ,但 接 人 网 络 之 前 必须 先 对 服务 器 进行 必要 的 网 络 设置 ,如 安 
装 网 卡 驱动 程序 .设置 IP 地 址 信息 等 。Windows Server 2008 系统 中 已 经 内 置 了 大 部 分 网 


@。。 
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卡 的 驱动 程序 ,默认 可 以 自动 安装 ,同时 创建 网 络 适 配器 对 应 的 网 络 连接 ,管理 员 只 需 进行 
简单 配置 即 可 。 


2.8.1 设置 IP 地 址 信息 


设置 IP 地 址 信息 的 步骤 如 下 。 


(1) 在 “控制 面板 "窗口 中 双击 “网 络 和 共享 中 心 ” 图 标 ,打开 图 2-66 所 示 的 “网 络 和 共 
享 中 心 ”窗口 。 


(2) 单 击 “ 查 看 状态 ”按钮 ,显示 图 2-67 所 示 的 “本 地 连接 状态 ”对 话 框 ,显示 当前 网 卡 
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图 2-66 “网 络 和 共享 中 心 "窗口 图 2-67 “本 地 连接 状态 "对 话 框 


(3) 单 击 “属性 按钮 ,显示 图 2-68 所 示 的 “本 地 连接 属性 "对话 框 ,在 列表 中 选中 
“Internet 协议 版 本 4(TCP/IPv4)" 复 选 框 。 


(4) 单 击 * 属 性 ”按钮 ,显示 图 2-69 所 示 的 “Internet 协议 版 本 4(TCP/IPv4) 属性 ”对 话 
框 。 分 别 选中 “使 用 下 面 的 IP 地 址 ”和 * 使 用 下 面 的 DNS 服务 器 地 址 ” 单 选 按钮 ,并 分 别 输 
入 该 计算 机 分 配 的 IP 地 址 、 子 网 掩 码 、 默 认 网 关 和 DNS 服务 器 的 IP 地 址 。 


划 
Bs | 
连接 时 使 用 | 
oa 
此 连 控 使 用 下 到 硕 目 D): 
er = 
ba 名 计划 程序 王 她 趟 0 211 .82 216 243 
Ea "ft 网 绪 的 文件 和 打印 机 共享 [5 5 5 2 
O 版 本 6 (TCP/IPYS) 也 有 55 255 255 224 
3 版 本 4 (TCP/IPA) A) 21l e218 254 
闭 和 链 路 层 括 扑 发 现 映射 器 I/0 驱动 程 床 
LinkLayer Topology Discovery Responder ri EE 村) 
一 使 用 下 而 的 DIE 服务 基地 址 下 ) 
EE Em 属性 四 is 服务 器 FE 
| 各 Eee 
高 级 人 
| Cj] ww | 


图 2-68 “本 地 连接 属性 ”对话 框 图 2-69 “Internet 协议 版 本 4(TCP/IPv4) 属性 "对 话 框 
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(5) 连续 单 击 “确定 ”按钮 ,保存 设置 即 可 。 
2.8.2 知识 链接 : IP 地 址 信息 


计算 机 或 网 络 设备 的 IP 地 址 信息 由 IP 地 址 、 子 网 掩 码 、 默 认 网 关 和 DNS 服务 器 地 址 4 
部 分 组 成 。 

1. IP 地 址 

网 络 使 用 的 合法 IP 地 址 由 提供 Internet 接 入 的 服务 商 (ISP) 分 配 ,私有 IP 地 址 则 可 以 
由 网 络 管理 员 自 由 分 配 。 需 要 注意 的 是 ,网 络 内 部 所 有 计算 机 的 IP 地 址 都 不 能 相同 ,否则 
会 发 生 IP 地 址 冲突 ,导致 网 络 通信 失败 。 

另外 ,IP 地 址 可 以 是 静态 或 动态 分 配 。 不 过 ,对 于 网 络 服务 器 而 言 ,由 于 必须 提供 静态 
的 IP 地 址 才能 方便 地 让 网 络 用 户 找到 ,因此 ,通常 情况 下 ,不 考虑 为 网 络 服务 器 动态 分 配 
IP 地 址 。 

所 谓 和 有 地 址 (Private Address) 属 于 非 注册 地 址 ,专门 为 组 织 机 构 内 部 使 用 。 这 些 IP 
地 址 不 能 直接 访问 Internet ,也 不 能 被 Internet 所 访问 ,所 以 ,即使 被 不 同 的 网 络 使 用 ,也 不 
会 导致 IP 地 址 冲突 。 

可 供 使 用 的 私有 IP 地 址 包括 以 下 几 类 。 

(1) A 类 : 10.0.0.0~10.255. 255. 255 。 

(2) B 类 : 172. 16. 0.0~172. 31. 255. 255 。 

(3) C 类 :, 192.168.0.0~192. 168.255. 255 。 

2. 子 网 掩 码 

子 网 掩 码 用 于 划分 不 同 的 网 络 ,从 而 判断 自己 所 处 的 网 络 , 以 及 与 对 方 是 否 处 于 同一 网 
络 。 如 果 使 用 的 内 部 保留 IP 地址 ,那么 ,通常 可 以 采用 默认 的 子 网 掩 码 。 如 果 是 采用 合法 
的 IP 地 址 , 则 要 通过 设置 变 长 子 网 掩 码 的 方式 合理 划分 子 网 。 

各 类 IP 地 址 默认 的 子 网 掩 码 分 别 如 下 。 

(1) A 类 : 255.0.0.0。 

(2) B 类 : 255. 255.0.0。 

(3) C 类 : 255.255. 255.0。 

提示 : 有 关 IP 地 址 和 子 网 掩 码 的 详细 内 容 , 参 见 其 他 技术 资料 。 

3. 默认 网 关 

所 谓 网 关 (Gateway) 是 一 个 网 络 连接 到 另 一 个 网 络 的 “关口 ”。 例 如 , 跟 同一 间 办 公 室 
的 同事 聊天 ,可 以 站 起 来 直接 跟 他 讲 ,而 与 另 一 间 办 公 室 的 同事 谈 事情 ,就 必须 从 门口 走出 
去 。 事 实 上 ,无 论 与 其 他 哪 间 办 公 室 的 同事 面对面 交流 ,都 必须 走出 自己 办 公 室 的 门口 。 而 
所 谓 默认 网 关 , 就 是 指 将 对 其 他 网 络 的 访问 发 送 到 哪个 IP 地 址 , 即 访问 其 他 网 络 所 必 经 的 
“关口 。 

只 有 设置 了 网 关 ,TCP/ 了 协议 才能 实现 不 同 网 络 之 间 的 相互 通信 。 而 作为 网 关 的 IP 
地 址 应 当 是 具有 路 由 功能 的 设备 的 IP 地 址 ,如 路 由 器 、 宽 带路 由 器 、 代 理 服 务 器 .三 层 交 换 
机 等 的 局 域 网 IP 地 址 。 

提示 : 当主 机 访问 其 他 网 络 时 ,只 需 将 数据 包 发 给 默认 网 关 就 不 用 管 了 ,后 续 的 一 切 工 
作 都 由 这 个 网 关 来 负责 处 理 。 在 大 中 型 网 络 中 ,每 个 VLAN 使 用 的 默认 网 关 都 不 相同 。 
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4. DNS 服务 器 

网 络 中 的 计算 机 之 间 是 通过 IP 地 址 进行 通信 的 。 但 是 ,IP 地 址 既 长 又 枯燥 ,非常 难以 
记忆 。 于 是 ,人 们 便 发 明了 有 意义 且 易 记 的 域名 ,然后 ,再 借助 DNS 服务 将 域名 转换 为 IP 
地 址 。 这 样 , 当 访问 某 个 网 站 时 ,只 需 输 入 易 记 的 域名 就 行 了 。 如 果 局 域 网 中 没有 提供 
DNS 服务 ,那么 ,DNS 服务 器 的 IP 地址 应 该 是 ISP 的 DNS 服务 器 。 

例如 , 当 访问 清华 大 学 网 站 时 ,只 须 输入 其 域名 "http://www. tsinghua. edu. cn/” 即 
可 。 其 中 ,www 表示 提供 Web 服务 ,tsinghua 是 清华 的 英文 写法 ,edu 表示 教育 机 构 ,cn 表 
示 中 国 。 显 然 , 记 忆 这 个 域名 比 其 IP 地 址 ”166. 111. 4. 100 ”容易 得 多 。 

如 果 局 域 网 自己 提供 了 DNS 服务 ,那么 ,DNS 服务 器 的 IP 地 址 就 是 内 部 DNS 服务 器 
的 JP 地址。 但 目前 使 用 最 多 的 是 公 网 上 的 DNS 服务 器 ,例如 ,河北 省 公 网 的 DNS 服务 器 
的 IP 地址 为 202. 99. 160. 68 和 202. 99. 166.4。 


2.8.3 网 卡 的 禁用 与 启用 


目前 ,服务 器 通常 都 标 配 有 两 个 网 络 适配器 接口 。 因 此 ,除非 采用 EtherChannel 技术 
将 两 块 网 卡 绑 定 在 一 起 使 用 ,实现 带宽 倍增 和 负载 均衡 ! 否则 ,应 当 将 其 中 一 块 网 卡 禁 用 ， 
以 避免 可 能 会 导致 无 法 正常 通信 的 故障 。 因 此 ,建议 管理 员 仅 在 必要 的 时 候 启用 备用 网 卡 
网 络 连接 ,不 用 时 则 将 其 禁用 。 

提示 : 代理 服务 器 和 软件 路 由 服务 器 除外 ,因为 它们 的 两 块 网 卡 分 别 连接 至 内 网 和 人 外 
网 ,需要 同时 启用 ,才能 实现 代理 和 路 由 服务 。 另 外 ,在 实现 服务 器 群集 时 ,每 台 服 务 器 也 需 
要 使 用 两 块 网 卡 , 分 别 用 于 提供 网 络 服务 和 负载 均衡 。 

1. 网 卡 的 禁用 

禁用 网 卡 后 对 应 网 络 连 接 将 停止 工作 ,但 是 其 配置 信息 将 不 会 消失 或 还 原 。 用 户 可 以 
通过 如 下 几 种 方法 禁用 网 卡 。 

CD “网络 连接 "窗口 Te aa 

在 “网 络 连 接 ” 窗 口中 , 右 击 想 要 禁用 的 网 卡 对 SRm GOD SEW IA0 ERO 和 
应 的 网 络 连接 ,并 在 快捷 菜单 中 选择 “禁用 ”命令 即 “有 全 全 ie 


AN 或 高 束 Internet (2) 日 


可 直接 禁用 该 连接 ,如 图 2-70 所 示 。 稍 等 片刻 即 可 哪 


| 二 地 连 接 pret 
发 现 该 网 络 连接 图 标 已 经 旦 灰色 显示 ,表示 已 经 i 
禁用 。 ee 
(2) 设备 管理 器 bb 
所 有 硬件 设备 的 禁用 或 启用 都 可 以 通过 设备 管 mtn 
理 器 来 完成 。 打 开 “ 设 备 管理 器 "窗口 ,如 图 2-71 所 图 2-70 “网 络 连 接 ” 窗 口 


示 , 当 前 计算 机 上 已 安装 的 所 有 硬件 设备 信息 都 会 
显示 在 这 里 。 展 开 * 网 络 适配器 目录 , 即 可 看 到 已 安装 的 所 有 网 卡 , 右 击 想 要 禁用 的 网 卡 ， 
选择 “禁用 ”命令 即 可 将 其 禁用 。 成 功 禁用 后 该 网 卡 对 应 的 图 标 上 会 看 到 一 个 "“ 红 又 ?标记 。 
2. 网 卡 的 启用 
必要 的 时 候 可 以 将 处 于 禁用 状态 的 网 卡 重新 启用 ,此 时 网 卡 配置 信息 会 保持 不 变 , 可 立 
即 应 用 。 启 用 网 卡 同样 有 多 种 方法 ,和 网 卡 的 禁用 操作 恰恰 相反 , 即 无 论 采用 哪 种 方法 只 需 
选择 对 应 的 “启用 ”命令 即 可 ,此 处 不 再 歼 述 。 


ee 图 
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2.8.4 创建 网 络 连接 


如 果 只 进行 局 域 网 内 部 计算 机 之 间 的 资源 共享 , 则 只 做 上 述 简单 配置 即 可 。 但 是 很 多 
情况 下 服务 器 需要 连接 到 其 他 局 域 网 或 远程 网 络 ,如 Internet、 公 司 网 络 等 ,此 时 ,还 需要 创 
建 一 个 专用 的 网 络 连 接 , 必 要 的 情况 下 还 需要 安装 专用 连接 设备 。 

(1) 打开 “网 络 和 共享 中 心 ”窗口 ,在 左 侧 中 单 击 “ 设 置 连接 或 网 络 "链接 ,显示 图 2-72 所 
示 的 “设置 连接 或 网 络 " 向 导 。 在 列表 中 选中 “连接 到 Internet” 选 项 。 


实 件 中 袜 作 册 看 看 MW 帮助 0 


| 
[工作 omJL ET 开工 工 了 | 


图 2-71 计算 机 管理 图 2-72 “设置 连接 或 网 络 "向 导 窗口 


(2) 单 击 * 下 一 步 ? 按 钮 ,显示 ”* 您 想 如 何 连接 ”窗口 。 

(3) 单 击 “宽带 (PPPoE) ”按钮 ,显示 图 2-73 所 示 的 “输入 您 的 Internet 服务 提供 
商 (ISP) 提 供 的 信息 ”窗口 。 分 别 在 * 用 户 名 ”和 "密码 ”文本 框 中 输入 网 络 提供 商 所 分 配 的 
用 户 名 及 密码 。 在 “连接 名 称 "文本 框 中 输入 该 连接 所 显示 的 名 称 。 另 外 ,如 果 选 中 * 记 住 此 
密码 ” 复 选 框 ,在 下 次 使 用 时 不 用 再 重复 输入 该 密码 。 如 果 选 中 * 人 允许 其 他 人 使 用 此 连接 ” 复 
选 框 , 则 允许 所 有 用 户 使 用 该 连接 。 


= 
[ET 
但 细 何 连接 
rr 
< 本 
[als 
办 旋 扩 到 Internet 
半 入 和 的 Tateraet 服务 和 人 商 Cs7) 反 代 的 信息 
SPU CE 
Be 
可 my 
是 | PE 了 
Sos 
运 汪 个 [N Bd 
| 
个 汪 本 以 流放 和 FI 的 人 村 册 和 二季 
suse 


[ET le | 


图 2-73 “输入 您 的 Internet 服务 提供 商 (ISP) 提 供 的 信息 "窗口 
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(4) 单 击 “ 连 接 ” 按 钮 ,可 立即 连接 到 网 络 ,连接 成 功 后 显示 图 2-74 所 示 的 “到 Internet 
的 连接 可 以 使 用 ”窗口 。 

(5) 单 击 “ 关 闭 ” 按 钮 , 即 可 完成 整个 Internet 连接 的 建立 ,如 图 2-75 所 示 。 如 果 以 后 需 
要 创建 或 修改 其 他 配置 ,可 以 随时 启动 连接 向 导 。 


二 话 接 到 Internet Da 
BY Him mre 


Es 


0 | [ye 


看 要 下 一 次 滨 浪 到 Internet . 请 章 去 [开始 ] 皖 征 , 单 二 “洗澡 厅 为 下 面 用 户 集 存 用 户 名 笑 码 GS): 
人 De NN 
Co] _ mh | mo | ww | 
图 2-74 “到 Internet 的 连接 可 以 使 用 "窗口 图 2-75 “连接 宽带 连接 ”对话 框 


对 于 通过 局 域 网 接 入 Internet 连接 的 用 户 而 言 ,在 Windows 操作 系统 下 不 必 建 立新 的 
连接 ,局 域 网 连接 是 Windows 自动 建立 的 。 当 需要 创建 多 个 用 于 访问 不 同 网 络 的 连接 时 ， 
可 以 直接 复制 已 经 创建 好 的 网 络 连接 ,然后 再 简单 更 改名 称 、 基 本 设置 信息 即 可 。 


2.9 远程 管理 


众所周知 ,在 网 络 中 ,网 络 服务 器 和 计算 机 因为 功能 的 不 同 ,通常 位 于 网 络 的 不 同位 置 ， 
这 在 很 大 程度 上 增加 了 网 络 管理 的 难度 。 如 果 单 纯 地 依靠 人 力 来 完成 ,显然 是 比较 困难 的 。 
因此 ,使 用 远程 监视 和 控制 工具 是 提高 网 络 管理 效率 最 有 效 的 方法 。 


2.9.1 启用 服务 器 的 远程 桌面 功能 


如 果 欲 使 用 远程 桌面 管理 服务 器 ,首先 必须 在 服务 器 上 启用 远程 桌面 功能 。 有 具体 操作 
步骤 如 下 。 

(1) 布 击 “ 计 算 机 ”图 标 , 并 在 快捷 菜单 中 选择 “属性 ”命令 ,打开 “系统 ”窗口 。 

(2) 在 “任务 ”选项 区 域 中 . 单 击 “ 高 级 系统 设置 "按钮 ,显示 图 2-76 所 示 的 “系统 属性 ” 
对 话 框 。 在 “远程 桌面 选项 区 域 中 ,根据 需要 选择 所 要 使 用 的 远程 桌面 级 别 。 

J@ 不 允许 连接 到 这 台 计 算 机 : 禁用 远程 桌面 。 

@ 允许 运行 任意 版 本 远程 桌面 的 计算 机 连接 ( 较 不 安全 ): 任意 可 以 连接 到 这 台 服 务 
器 的 计算 机 均 可 使 用 远程 桌面 管理 该 服务 器 。 

@ 只 允许 运行 带 网 络 级 身份 验证 的 远程 桌面 的 计算 机 连接 (更 安全 ): 只 允许 带 网 络 
级 身份 验证 的 计算 机 连接 到 该 服务 器 ,该 连接 方式 更 能 保证 服务 器 的 安全 。 

(3) 单 击 “ 选 择 用 户 ” 按 钮 ,显示 图 2-77 所 示 的 “远程 桌面 用 户 ” 对 话 框 , 单 击 “ 添 加 ” 按 
钮 ,将 允许 连接 到 该 服务 器 的 用 户 添 加 到 允许 列表 中 。 需 要 注意 的 是 ,默认 情况 下 管理 员 
Administrator 已 经 拥有 管理 权限 。 


eo@ 
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文件 中” 纺 吉 旭 下 看 争 工具 四 导 助 吕 


EEEETTI3 


CE ww | enw | 
图 2-76 “系统 属性 "对话 框 图 2-77 “远程 桌面 用 户 ” 对 话 框 
(4) 依次 单 击 “ 确 定 ” 按 钮 ,保存 设置 即 可 。 
2.9.2 远程 桌面 连接 程序 一 一 MSTSC 


MSTSC( Microsoft Remote Desktop Connection) 是 一 款 实 用 的 Windows 桌面 连接 程 
序 。 可 以 帮助 用 户 创建 到 终端 服务 器 或 其 他 远程 主机 的 连接 ,将 远程 主机 的 桌面 映射 连接 
到 本 地 计算 机 桌面 。 当 连接 到 远程 服务 器 控制 台 连 接 时 ,不 需要 任何 其 他 用 户 事先 登录 到 
该 控制 台 连 接 。 即 使 没有 人 登录 到 该 控制 台 , 也 可 以 像 实 际 位 于 该 控制 台 前 一 样 登 录 。 
实例 : 连接 到 服务 器 的 控制 台 会 话 。 
在 命令 提示 符 窗口 中 输入 如 下 命令 。 fy 汪 芝 
mstsc /console 


HMO: | 
按 Enter 键 执行 ,显示 图 2-78 所 示 的 运行 结果 。 es 


在 “计算 机 ”文本 框 中 输入 远程 计算 机 的 IP 地址 , 单 图 2-78 连接 到 服务 器 
击 “ 连 接 ? 按 钮 , 即 可 连接 到 远程 桌面 。 
小 知识 : 单 击 “ 选 项 ”按钮 ,可 以 根据 需要 设置 远程 连接 的 属性 。 


2.9.3 知识 链接 : MSTSC 命令 
MSTSC 命令 的 基本 语法 格式 如 下 。 


mstsc.exe {ConnectionFile | /v:ServerName[:Port]} [/console] [/{] [/w:Width/h:Height] 
mstsc. exe /edit"ConnectionFile" 


mstsc. exe /migrate 


该 命令 中 各 参数 的 含义 如 下 。 

(1) /ConnectionFile: 指定 用 于 连接 的 . rdp 文件 的 名 称 。 

(2) /v: ServerName[ :Port]: 指定 要 连接 的 远程 计算 机 和 (可 选 ) 端 口号 。 

(3) /console: 连接 到 指定 的 Windows Server 2003 家 族 操 作 系 统 的 控制 台 会 话 。 
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(4) /f: 在 全 屏 模式 下 启动 “远程 桌面 "连接 。 

(5) /w:Width /h: Height: 指定 “远程 桌面 "屏幕 的 大 小 。 

(6) /edit ”ConnectionFile": 打开 指定 的 . rdp 文件 进行 编辑 。 

(7) /migrate: 将 使 用 “客户 端 连接 管理 器 "创建 的 旧 的 连接 文件 迁移 到 新 的 . rdp 连接 
交 御 中 

注意 : 

(1) 必须 是 要 连接 的 服务 器 上 的 管理 员 才 能 创建 远程 控制 台 连 接 。 

(2) 对 于 每 个 用 户 来 说 ,默认 的 . rdp 都 作为 隐藏 文件 存储 在 “我 的 文档 "中 。 默 认 情 况 
下 ,用 户 创建 的 . rdp 文件 存储 在 “我 的 文档 ”中 。 


习题 
1 简 述 RAID 常用 级 别 的 特点 ,以 及 各 级 别 的 适用 环境 。 


2. 简 述 PowerShell 的 功能 。 
3. IP 地 址 信息 由 哪 几 部 分 组 成 ? 


实验 : 设置 Windows Server 2008 RAID 5 


实验 目的 : 

熟练 掌握 Windows Server 2008 系统 中 设置 RAID 5 的 方法 。 
实验 内 容 : 

在 拥有 3 块 以 上 磁盘 的 Windows Server 2008 系统 中 ,创建 RAID 5 卷 。 
实验 步骤 : 

(1) 打开 “磁盘 管理 ”窗口 。 

(2) 启动 欢迎 使 用 新 建 RAID 5 卷 向 导 。 

(3) 添加 磁盘 并 设置 卷 大 小 。 

(4) 格式 化 RAID 5 卷 。 


Windows 系统 性 能 管理 


服务 器 性 能 的 好 坏 直 接 影响 其 为 网 络 提供 服务 的 质量 ,如 果 服 务 器 长 期 处 于 高 负荷 的 
工作 状态 下 ,将 很 难保 证 其 服务 质量 。 尤 其 是 网 络 中 的 重要 服务 器 更 需要 保证 其 具有 高 可 
用 性 ,例如 域 控 制 器 、 文 件 服务 器 等 。 因 此 ,在 网 络 管理 过 程 中 ,为 了 保证 Windows 系统 的 
性 能 ,必须 对 系统 进行 必要 的 设置 和 监视 。 


3.1 Windows 系统 性 能 规划 


高 性 能 的 服务 器 是 实现 所 有 功能 的 基础 ,一 个 性 能 低下 的 服务 器 是 无 法 达到 用 户 要 求 
的 ,因此 ,保证 系统 的 性 能 是 保证 服务 器 提供 优质 服务 的 前 提 。 


3.1.1 项 目 背景 


通常 情况 下 ,新 版 本 的 服务 器 操作 系统 比 早期 的 服务 器 操作 系统 ,对 服务 器 硬件 的 利用 
程度 要 高 ,其实 这 也 是 服务 器 软件 技术 的 发 展 所 需要 的 。 为 了 能 够 最 大 限度 地 提高 系统 性 
能 ,需要 管理 员 掌握 一 些 必 要 的 优化 系统 性 能 的 方式 方法。 


3.1.2 项 目 需 求 


通常 情况 下 ,影响 系统 性 能 的 因素 包括 如 下 几 方 面 的 内 容 。 

(1) 操作 系统 软件 。 合 理 地 选择 操作 系统 程序 也 是 提高 系统 性 能 的 方法 之 一 。 

(2) 优化 系统 性 能 。 影 响 系 统 性 能 的 因素 包括 多 个 方面 的 内 容 , 为 了 能 够 提高 系统 性 
能 ,需要 将 其 中 影响 系统 性 能 的 不 必要 的 项 目 关闭 ,或 进行 相应 的 调整 。 

(3) 为 了 能 够 清楚 地 了 解 服务 器 的 可 靠 性 和 性 能 ,需要 管理 员 时 常 进行 监视 。 


3.1.3 解决 方案 


针对 于 当前 网 络 项 目 中 的 Windows 系统 性 能 管理 要 求 , 可 使 用 如 下 解决 方案 。 

(1) 选择 Server Core 操作 系统 ,Server Core 不 具有 图 形 界 面 ,采用 纯 命令 操作 ,类 似 于 
Linux 和 UNIX。 由 于 Server Core 安装 的 组 件 少 ,只 有 系统 核心 基础 服务 ,因此 ,降低 了 被 
攻击 的 可 能 性 ,安全 性 更 加 可 靠 ,稳定 性 也 更 高 。 不 过 ,Server Core 安装 以 后 需要 使 用 各 种 
命令 进行 管理 ,这 就 需要 网 络 管理 员 掌 握 一 定 的 命令 使 用 方式 。 

(2) 关于 系统 性 能 优化 ,可 通过 删除 不 必要 的 启动 项 目 . 关 闭 不 必要 的 服务 .关闭 缩 略 
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图 缓存 .设置 合适 的 虚拟 内 存 等 方法 解决 。 
(3) 监视 服务 器 的 可 靠 性 和 性 能 的 工作 , 则 可 以 使 用 Windows Server 2008 服务 器 提供 
的 可 靠 性 和 性 能 监视 器 来 完成 。 


3.2 Server Core 


微软 公司 为 了 使 硬件 发 挥 最 大 的 效能 ,推出 了 Windows Server 2008 Server Core, 即 
Windows Server 2008 服务 器 核心 。Server Core 以 安全 性 、 稳 定性 为 第 一 要 务 , 只 提供 
Windows 核心 基础 服务 ,没有 图 形 界 面 , 只 能 通过 命令 提示 符 窗口 以 命令 行 方 式 运行 。 由 
于 运行 的 组 件 少 ,从 而 减少 了 对 其 他 服务 和 管理 工具 的 攻击 范围 与 风险 。 


3.2.1 Windows Server Core 概述 


操作 系统 不 稳定 ,漏洞 多 ,一 向 是 Windows 系统 的 缺点 。 但 微软 推出 的 Windows Server 
2008 Server Core, 使 得 这 种 情况 大 为 改观 。 

1. Server Core 的 优点 

Windows Server 2008 Server Core 主要 具备 以 下 优点 。 

(1) 服务 器 的 稳定 性 更 高 。 由 于 Server Core 安装 的 功能 较 少 ,并 且 只 用 来 运行 很 少 的 
服务 和 应 用 ,因此 ,系统 漏洞 和 占用 的 资源 也 更 少 , 与 运行 了 更 多 功能 的 服务 器 相 比 , 极 大 地 
提高 了 服务 器 的 稳定 性 和 性 能 。 

(2) 减少 软件 维护 量 。 由 于 Server Core 只 安装 最 基本 的 功能 ,因此 ,所 需要 管理 的 软件 也 
就 更 少 ,从 而 提高 了 管理 性 ,降低 了 软件 维护 量 , 例 如 ,需要 更 新 和 安装 补丁 的 软件 更 少 了 。 

(3) 降低 被 攻击 风险 。 服 务 器 只 安装 有 限 的 服务 和 应 用 ,因此 ,暴露 在 网 络 中 的 攻击 点 
也 就 很 有 限 ,从 而 使 攻击 者 的 攻击 面 更 少 , 很 大 程度 上 降低 了 被 攻击 的 可 能 性 。 

(4) 空间 占有 率 更 少 。Server Core 没有 安装 不 必要 的 驱动 ,应 用 和 图 形 界面 ,因此 , 安 
装 后 只 占用 1GB 左右 的 磁盘 空间 ,是 正常 Windows Server 2008 的 1/6, 并 且 安 装 完成 之 
后 ,由 于 运行 的 程序 更 少 ,对 服务 器 的 资源 占有 率 也 大 大 降低 。 同 时 ,只 有 需要 角色 的 文件 
才 会 被 安装 ,对 于 IE、. NET 框架 等 则 不 会 安装 。 

提示 : Server Core 中 的 命令 不 区 分 大 小 写 。 

2. Server Core 的 缺点 

Server Core 最 大 的 缺点 就 是 使 用 起 来 不 方便 。 由 于 所 有 的 管理 全 部 使 用 命令 行 完 成 ， 
因此 ,对 于 已 经 熟悉 Windows 图 形 化 界面 的 网 络 管理 员 来 说 ,难度 比较 大 ,不 仅 需要 熟悉 命 
令 行 模式 下 的 管理 模式 ,同时 更 要 记 住 复 杂 的 命令 。 不 过 ,如 今 已 经 有 了 专门 用 于 Server 
Core 系统 的 图 形 化 软件 ,可 以 方便 用 户 的 使 用 。 

3. Windows Server Core 的 安装 

Windows Server Core 的 出 现 取 代 了 Windows Server 2008 系统 的 额外 组 件 ,核心 操作 
系统 比 普通 的 Windows Server 2008 完全 安装 更 简单 。 因 为 安装 的 组 件 少 ,所 以 攻击 面 小 ， 
管理 和 维护 的 费用 也 比较 少 。Server Core 只 允许 操作 系统 必需 的 重要 组 件 , 即 支持 
Windows Server Core 安装 上 可 用 的 各 种 角色 和 功能 。 许 多 没有 添加 值 的 旧版 组 件 和 客户 
端 组 件 都 不 会 在 Server Core 中 出 现 。 
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Server Core 安装 ,这 种 优化 安装 主要 是 基于 特定 的 角色 ,例如 域 控 制 器 或 文件 服务 器 ， 
如 下 所 示 。 

(1) Server Core 的 攻击 面 较 小 ,因为 安装 的 组 件 少 ,稳定 性 较 高 。 

(2) 由 于 安装 的 组 件 少 ,因此 Server Core 安装 比 普通 的 完全 安装 应 用 的 补丁 程序 少 。 
经 常 出 现 与 Internet Explorer 稳定 性 相关 的 紧急 修补 程序 ,车 没有 安装 Internet Explorer， 
就 不 运行 应 用 修补 程序 。 如 果 在 Windows 2000 系统 中 Server Core 安装 可 用 ,要 求 的 修补 
程序 会 比 普通 的 完全 安装 少 60%; 如 果 是 在 Windows Server 2003 系统 中 Server Core 安 
装 可 用 ,要 求 的 修补 程序 会 比 完全 安装 少 40%。Windows Server 2008 下 载 的 服务 包 只 在 系统 
上 安装 的 组 件 上 应 用 。Server Core 不 要 求 进行 任何 操作 或 特殊 的 Windows 更 新 站 点 。 

(3) 没有 安装 额外 的 组 件 ,所 以 可 以 把 注意 力 放 在 技术 方面 ,不 用 担心 常规 的 Windows 
知识 。 

(4) 运行 的 组 件 少 , 安 装 使 用 的 系统 资源 较 少 ,可 靠 性 有 所 提升 ,出 现 故 障 的 频率 也 有 
所 减少 。 

(5) 占用 更 少 的 磁盘 空间 。 典 型 的 核心 安装 使 用 1GB 磁盘 空间 进行 安装 ,其 他 磁盘 空 
间 用 于 实际 操作 。Windows Server 2008 安装 只 要 求 512MB 的 RAM。 

Server Core 安装 选项 可 用 的 平台 包括 Windows Server 2008 的 标准 版 .企业 版 和 数据 
中 心 版 ,而 且 均 包括 x86 和 x64 不 同 平台 。 

Server Core 是 最 简单 的 Windows 安装 ,所 以 并 不 是 所 有 Windows Server 组 件 都 可 以 
运行 ,例如 ,Server Core 中 . NET Framework 未 安装 ,所 以 共通 语言 执行 平台 (Common 
Language Runtime,CLR) 和 管理 代码 都 无 法 运行 ,也 无 法 运行 PowerShell。Server Core 不 
安装 的 组 件 如 下 所 示 。 

(1) 没有 基于 Explorer 的 Shell, 所 以 没有 “开始 "按钮 任务 栏 通知 区 域 (系统 任务 栏 ) 
和 任务 栏 。 没 有 壁纸 和 桌面 保护 程序 (默认 的 桌面 保护 程序 显示 Windows Server 2008 标 
识 ), 没 有 Aero Glass 画面 。Explorer 本 身 不 可 用 ,所 以 没有 资源 管理 器 。 没 有 系统 任务 
栏 , 也 就 没有 通知 ,没有 密码 提示 。 

(2) 无 Explorer 意味 着 没有 Internet Explorer, 没 有 搜索 .运行 和 帮助 。 但 可 以 使 用 记 
事 本 。 

(3) 无 .NET Framework 。 

(4) 无 Microsoft 管理 控制 台 (Microsoft Management Console,MMC) ,意味 着 没有 管 
理 单元 。 

(5) 只 有 两 个 控制 面板 应 用 程序 。 

Server Core 没有 图 形 界面 .管理 工具 、 浏 览 器 、 控 制 面板 应 用 程序 ,Server Core 拥有 一 
个 Shell, 那 就 是 命令 提示 符 。 所 有 的 MMC 管理 单元 都 可 以 连接 到 远程 计算 机 ,帮助 管理 
无 图 形 界 面 的 Server Core 安装 。 

之 前 只 有 Active Directory 域 服 务 器 ( 域 控制 器 ),DNS、DHCP 和 文件 服务 器 可 用 。 现 
在 拥有 更 多 的 可 用 角色 。Windows Server 中 的 角色 是 Windows Server 2008 中 非常 重要 的 
组 件 , 功 能 虽然 比 角色 的 重要 性 稍 差 ,但 可 以 帮助 更 好 地 实现 角色 。 表 3-1 列 出 了 Windows 
Server Core 中 可 用 的 角色 和 功能 。 需 要 注意 的 是 ,这 些 角色 和 功能 之 前 没有 任何 关系 ,将 
放 在 一 起 只 是 为 了 节省 空间 。 
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表 3-1 Windows Server Core 角色 和 功能 


Server Core 角色 Server Core 功能 
Active Directory 域 服 务 (ADDS) BitLocker 驱动 程序 加 密 ( 和 远程 管理 工具 ) 
Active Directory 轻型 目录 服务 (通常 称 为 ADAM) 故障 转移 群集 
DHCP 服务 器 多 路 径 IO 
DNS 服务 器 NAP 客户 端 
文件 服务 Qos(Qwave) 
Internet 信息 服务 (TIS) 可 移动 存储 管理 
打印 服务 简单 网 络 管理 协议 (SNMP) 服 务 
流 媒体 服务 基于 UNIX 应 用 程序 的 子 系统 
Telnet 客户 端 
Windows 进程 激活 服务 
Windows Server 虚拟 化 (HyperV) Windows Server 备份 
WINS 服务 器 


3.2.2 安装 Windows Server Core 


Server Core 并 没有 独立 的 安装 进程 ,因为 Server Core 安装 和 Windows Server 2008 的 
普通 完全 安装 基本 相同 。 安 装 位 置 被 放置 在 服务 器 和 服务 器 启动 中 ,只 需 输入 产品 密 钥 来 
识别 Windows Server 2008 的 不 同 版 本 。Server Core 安装 和 完全 安装 的 差别 在 于 ,输入 产 
品 密 钥 后 ,需要 在 图 3-1 所 示 的 "选择 要 安装 的 操作 系统 ”对话 框 内 选择 Windows Server 
2008 的 安装 类 型 (完全 安装 或 服务 器 核心 安装 ) 。 


图 3-1 “选择 要 安装 的 操作 系统 "对 话 杠 


然后 根据 提示 安装 完成 即 可 ,安装 完成 后 ,显示 “ 按 CTRL 十 ALT 十 DELETE 登录 ” 界 
面 ,界面 的 底部 显示 Windows Server 登录 。 如 果 按 键 的 顺序 正确 ,提示 输入 登录 凭据 。 现 
在 可 以 以 管理 员 账 户 的 身份 登录 ,密码 空白 。 按 Ctrl 十 Alt 十 Delete 键 ,显示 图 3-2 所 示 的 
选择 用 户 界面 。 
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按 CTRL + ALT + DELETE 登录 


图 3-2 选择 用 户 界面 


单 击 “ 其 他 用 户 ” 按 钮 ,显示 图 3-3 所 示 的 登录 窗口 ,提示 需要 输入 用 户 名 和 密码 登录 。 
Em 
Cm ~ 


Wy 


医 windowsSserverzos 


图 3-3 登录 窗口 


在 “用 户 名 "文本 框 中 输入 管理 员 用 户 名 administrator, 不 需 输入 密码 , 按 Enter 键 确认 , 提 
示 需 要 更 改 密码 。 在 Server Core 刚刚 安装 完成 时 ,只 有 一 个 管理 员 账 户 administrator, 并 
且 必 须 设置 一 个 强 密码 才能 登录 。 单 击 “ 确 定 ” 按 钮 .显示 图 3-4 所 示 的 窗口 ,提示 重新 设置 
密码 。 在 “新 密码 "和 “确认 密码 "文本 框 中 输入 一 个 新 密码 ,以 后 登录 系统 时 ,都 需要 使 用 该 
密码 登录 ,而 “密码 ”文本 框 中 不 需 输入 内 容 。 


图 3-4 设置 新 密码 
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按 Enter 键 确认 ,显示 图 3-5 所 示 的 界面 ,提示 密码 已 更 改 。 应 用 本 地 策略 ,预备 桌面 。 


CE 


给 Windows Serverz008 


图 3-5 密码 已 更 改 


单 击 “ 确 定 ” 按 钮 , 即 可 登录 到 Windows Server 2008 Server Core, 加 载 Server Core 桌面 。 
成 功 登录 系统 后 ,只 有 一 个 命令 提示 符 窗口 ,没有 其 他 菜单 及 文件 夹 窗口 ,如 图 3-6 所 示 。 


图 3-6 命令 提示 符 


至 此 ,Windows Server 2008 Server Core 安装 完成 ,所 有 的 服务 配置 均 可 在 该 命令 提示 
符 窗口 中 完成 。 

需要 注意 的 是 ,不 可 以 从 Windows Server 2003 升级 至 Server Core, 只 支持 新 安装 的 
Server Core。 也 不 可 以 从 Server Core 升级 至 完整 的 Windows Server 2008 产品 ,或 者 从 
Windows Server 2008 降级 至 Server Core。 若 需要 在 这 两 个 版 本 之 间 进 行 切 换 , 需 要 执行 
全 新 的 安装 。 


3.2.3 配置 Server Core 


安装 Server Core 后 ,要 对 其 进行 配置 。 由 于 没有 普通 的 图 形 界面 ,因此 不 可 以 使 用 初 
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始 配置 任务 (Initial Configuration Tasks,ICT) 界 面 配置 Windows Server 2008 服务 器 ,需要 
使 用 如 下 两 个 方法 实现 。 

(1) 使 用 命令 行 工具 手动 配置 服务 器 。 

(2) 在 实际 安装 过 程 中 使 用 应 答 文件 自动 配置 。 

- 般 情 况 下 可 以 使 用 GUI 界面 完成 这 些 配置 任务 ,例如 ,使 用 网 络 和 共享 中 心 配置 IP 
设置 .使 用 Windows 更 新 配置 修补 程序 等 。 但 这 些 界 面 在 Server Core 安装 中 都 不 可 用 。 
所 以 需要 使 用 命令 行 和 Server Core 特定 的 命令 完成 这 些 配 置 。 其 中 大 部 分 标准 命令 也 适 
用 于 普通 安装 。 

1. 设置 管理 员 密 码 

Server Core 安装 与 标准 安装 的 系统 在 密码 安全 方面 基本 相同 ,所 以 要 更 改 登录 账户 的 
密码 ,可 以 直接 按 Ctrl 十 Alt 十 Delete 键 。 在 菜单 中 选择 “更 改 密码 "命令, 在“ 更改 密码 ”对 
话 框 进行 修改 即 可 

在 任何 其 他 Windows 操作 系 
令 并 传送 用 户 名 和 新 密码 或 者 传 密码 提示 的 星 号 Wet 
字符 (x ) ,也 可 以 更 改 密码 ,如 图 3-7 所 示 。 要 更 改 域 账 恤 inatetormet wor odniniatrator 
户 密 码 , 还 需要 添加 /domain 参数 pi 

2. 设置 服务 器 名 称 

默认 情况 下 ,在 安装 Windows Server 2008 时 都 不 
需要 设置 计算 机 名 ,系统 会 随机 生成 一 个 计算 机 名 ,Server Core 也 是 如 此 。 但 在 实际 应 用 
中 ,随机 生成 的 名 字 没 有 实际 意义 ,也 不 便于 记忆 ,因此 ,在 安装 完 操作 系统 后 需要 更 改 服务 
器 名 。 

利用 hostname 命令 可 以 查看 当前 计算 机 名 ,而 重 命名 则 需要 利用 netdom 命令 来 
实现 。 

(1) 在 命令 提示 符 中 输入 如 下 命令 


统 上 运行 net user 命 


图 3-7 使 用 命令 行 更 改 密码 


hostname 


按 Enter 键 ,可 以 查看 当前 的 计算 机 名 ,如 图 3-8 所 示 


图 3-8 显示 当前 计算 机 名 
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IP 地 址 ,因此 ,需要 在 安装 完成 后 为 系 


(2) 现在 即 可 利用 netdom 命令 来 更 改 计算 机 名 ,格式 如 下 。 

netdom renamecomputer 旧 服 务 器 名 称 /Newname: 新 服务 器 名 称 

例如 : 

netdom renamecomputer WIN-I2GUSJXLNZJ /newname:core 

按 Enter 键 运行 ,提示 重 命名 计算 机 可 能 导致 菜 些 服务 不 能 正确 运行 ,并 询问 是 否 要 继续 。 
(3) 输入 y, 按 Enter 键 ,命令 成 功 完成 ,如 图 3-9 所 示 。 同 时 ,提示 需要 重新 启动 系统 ， 


新 计算 机 名 才能 生效 。 


pVIN-I2GUSIXLNZS /ne, 


图 3-9 重 命名 完成 


(4) 运行 shutdown 命令 重新 启动 计算 机 。 为 了 加 快 关机 速 


,可 设置 关机 延 时 为 两 


秒 。 在 命令 提示 符 中 输入 如 下 命令 


shutdown /r /t 2 
按 Enter 键 ,重新 启动 计算 机 并 登录 , 即 可 应 用 新 的 计算 机 名 , 重 命名 工作 完成 。 
3. 设置 IP 地 址 


Server Core 安装 完成 后 


天 认 以 DHCP 模式 分 配 IP 地 址 。 由 于 服务 器 通常 使 用 静态 
筑 设置 兽 态 IP 地 址 
完成 。 这 里 ,将 设置 服务 器 的 卫 地 址 为 192. 168. 1. 9 , 子 


设置 地址 可 使 用 netsh 命令 


网 手 码 为 255. 255. 255. 0, 网 关 为 192. 168. 1. 254 ,DNS 服务 器 为 211. 82. 216. 5。 


(1) 在 命令 提示 符 中 输入 如 下 命令 
netsh interface ipv4 show interfaces 


该 命令 的 作用 是 显示 使 用 IPv4 协议 的 网 络 连 接 。 按 Enter 键 ,命令 成 功 执行 ,显示 了 


服务 器 中 可 用 的 网 络 连接 ,本 地 连接 的 ID 为 2 


(2) 下 面 开始 设置 静态 IP 地 址 。 在 命令 提示 符 中 输入 如 下 命令 。 


netsh interface ipv4 set address name= "2" source= static address= "192.168.1.9" mask="255.255. 


5.0" gateway= "192.168.1.254" 


按 Enter 键 ,命令 成 功 执行 ,服务 器 的 全 设置 成 功 。 在 该 命令 中 ,set address name 一 "2" 


表示 所 设置 的 本 地 连接 的 ID, source 二 static 表示 设置 静态 IP 地 址 ,address 表示 IP 地 址 ， 
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mask 表示 子 网 掩 码 ,gateway 表示 网 关 。 
提示 : 也 可 以 使 用 简写 的 命令 格式 来 添加 IP 地 址 


netsh interface ipv4 set address "本 地 连接 " static 192.168.1.9 255 


255.0 192.168.1.254 
(3) 然后 ,再 设置 DNS 服务 器 地 址 。 在 命令 行 提示 符 中 输入 如 下 命令 。 


netsh interface ipv4 add dnsserver name="2" address= "211. 82.216.5" index=1 


按 Enter 键 ,命令 成 功 执行 ,如 区 
202. 99. 160. 68 


3-10 所 示 , 即 可 将 服务 器 的 首选 DNS 服务 器 设置 


地 连接 


Loophack Peeudo-Interface 1 


rnetsh interface ipo4 set address name' 
nask="255.255.255.192" gatevay="192.168.180.6: 


le: Wsers\adninistrator netsh interface ipv4 add dnsserver nane""2" address="192.| 
le .188.5” index"1 


le: Wsers\adninistrator> 


图 3-10 设置 IP 地 址 信息 


成 以 后 ,运行 ipconfig /all 命令 可 以 查看 当前 详细 的 IP 地 址 


,如 图 3-11 
所 示 。 


ef:11b5:h73e 4318x2< 首 选 > 
48C 首 选 》 
255-255-255-192 


DNS 服务 器 


TCPIP 上 的 NetBlos 
隧道 适配器 本 地 连接 w: 


isatap. CE4C362EP-64EA-44B9-99BB-B2D228B48| 


-8-Be-B8-88-9e-B8-EB 


图 3-11 查看 人 地 址 


4. 设置 时 区 
使 用 date 和 time 命令 行 可 以 轻松 设置 日 期 与 时 间 。 但 使 用 命令 行 设置 时 区 有 一 点 难 
时 区 中 包含 注册 表 区 域 ,但 没有 必要 使 用 注册 表 。Server Core 中 控制 面板 不 可 用 ,但 
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有 两 个 程序 可 用 ,其 中 一 个 是 日 期 和 时 间 控 制 面板 程序 。 运 行 下 列 命令 启动 日 期 和 时 间 控 
制 面板 程序 。 


control timedate. cpl 


加 载 程 序 后 ,如 图 3-12 所 示 ,执行 普通 的 日 期 /时 间 和 时 区 配置 即 可 。 
注意 : 域 环境 内 时 间 必 须 同步 ,但 还 是 要 设置 时 区 。 


- 训 


(GMT*0800) 北京 -重奖 , 奋 于 5 到 行 友 区 . 号 多 二 开 


下 区 条 行政 可 


Seay 
| | enw| 


图 3-12 配置 日 期 /时 间 和 时 区 


wx) 


EE 


5. 加 入 域 

与 图 形 界面 的 Windows Server 2008 一 样 ,Server Core 也 可 以 加 入 域 ,使 用 域 中 的 资源 
并 为 网 络 提供 服务 。 不 过 ,在 加 入 域 之 前 ,必须 先 将 Server Core 的 DNS 服务 器 地 址 设置 为 
域 控制 器 的 了 P 地址 ,并 且 应 利用 Ping 命令 测试 Server Core 与 域 控 制 器 的 连通 性 。 

将 Server Core 加 入 域 需 使 用 netdom join 命令 ,命令 格式 如 下 

netdom join machine /Domain: domain L/UserD: user] [/PasswordD: [password| * ]] [/REBoot[: 

Time in seconds]] 

该 命令 中 参数 的 含义 如 下 。 

(1) machine: 要 加 入 域 的 成 员 计 算 机 名 。 

(2) /Domain:domain: 指定 要 加 入 域 的 域名 。 

(3) /UserD:user: 有 权限 加 入 域 的 域 用 户 。 

(4) /PasswordD:[password | * ]: 输入 域 用 户 账户 的 密码 。 

(5) /REBoot[ :Time in seconds]: 指定 计算 机 在 加 入 域 后 ,多 长 时 间 关 闭 并 自动 重新 
启动 。 默 认 值 是 30 秒 。 

这 里 ,使 用 域 管理 员 账 户 Administrator 将 Server Core 加 入 域 。 具 体操 作 步 骤 如 下 。 

(1) 设置 Server Core 的 DNS 服务器。 首先 将 域 控 制 器 的 IP 地 址 添加 到 Server Core 
的 DNS 服务 器 地 址 中 。 在 命令 提示 符 下 输入 如 下 命令 。 


netsh interface ipv4 add dnsserver name= "2" address="192.168.100.5" 
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按 Enter 键 ,DNS 服务 器 地 址 添加 完成 。 


(2) 将 Server Core 加 入 域 。 为 了 安全 起 见 , 不 在 屏幕 上 显示 密码 ,因此 使 用 参数 : 

PasswordD: * 。 在 命令 提示 符 下 输入 如 下 命令 。 
二 
按 Enter 键 , 命 令 成 功 执行 ,提示 输入 域 用 户 的 密码 ,如 图 3-13 所 示 

| 一 审理 员 :C\wdom \system32\cmd exe ~ netdom Jom eore Ja jglzd 


uindovs\systen32ynetdom join core /Donain:coolpen.net /UserD:adninistrator 


图 3-13 输入 域 用 户 


码 
提示 : 如 果 在 运行 命令 时 直接 输入 了 密码 ,将 不 会 出 现 该 提示 

(3) 在 光标 处 输入 域 用 户 的 密码 即 可 的 是 , 当 输 入 密码 时 ,并 不 会 显示 密码 
的 字符 ,从 而 防止 密码 泄露 。 完 成 后 直接 按 Enter 键 , 稍 候 即 可 加 入 域 ,并 提示 需要 
动 计算 机 才能 完成 此 操作 ,如 图 3-14 所 示 


需要 注 


新 启 


一 管理 员 :CVwindows \system32\emd exe 


|c: Windous \systen32>. 


图 3-14 加 入 域 成 功 
(4) 运行 shutdown 命令 重新 启动 服务 
户 ” 按 钮 ,再 单 击 “ 其 他 用 户 ” 按 钮 ,显示 图 3- 


器 , 即 可 登录 到 域 了 。 在 登录 界面 单 击 * 切 换 用 
15 所 示 的 界面 。 在 “用 户 名 ”文本 框 中 输入 域 用 
户 账户 ; 格式 为 : 域名 / 域 用 户 名 ; 在 


码 " 文 本 框 中 输入 域 用 户 的 密码 。 
(5) 按 Enter 键 . 即 可 登录 到 域 .如 图 3-16 所 示 
提示 : 如 果 要 退出 域 ,可 使 用 netdom remove 命令 。 
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TROW) 


车 windowsserverzos 


图 3-15 使 用 域 用 户 登录 


图 3-16 已 登录 到 域 


6. 激活 服务 器 

Server Core 包含 SImgr. vbs 脚本 。 使 用 该 脚本 和 -ato 参数 可 以 执行 操作 系统 的 自动 
激活 。Slmgr. vbs 并 不 是 Server Core 的 一 个 功能 ,而 是 在 Windows Vista 和 完全 Windows 
Server 2008 部 署 中 ,是 Windows Vista 和 Windows Server 2008 产品 的 主要 许可 证 管理 器 。 

Server Core 没有 任务 栏 和 系统 通知 区 域 .所 以 无 法 接受 激活 服务 器 的 任何 提示 ,需要 
安装 Server Core 之 后 立即 激活 服务 器 。 

激活 服务 器 之 前 ,首先 使 用 -xpr 参 数 查看 30 天 宽 限 期 的 剩余 时 间 。 


C:\Users\Administrator>cscript slmgr. vbs -xpr 


初始 宽 限 期 于 2009/9/20 11:06:17 过 期 


使 


-dli 参数 和 -dlv 参数 可 以 获取 更 多 的 详细 信息 。 


C:\Users\Administrator>cscript slmgr.vbs -dli 
名 称 : Windows Server(R)，ServerEnterpriseCore edition 
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描述 : Windows Operating System - Windows Server(R), VOLUME_KMSCLIENT channel 
部 分 产品 密 钥 : X4Q6V 

许可 证 状态 : 初始 宽 限 期 

剩余 时 间 : 86160 分 钟 (59 天 ) 


如 果 有 普通 的 许可 证 密 钥 或 者 多 个 激活 密 钥 (Multiple Activation Key,MAK) ,可 以 直 


接 进行 激活 。 如 果 拥 有 本 地 密 钥 管理 服务 (Key Management Service, KMS ), 则 通 
过 -skms 二 KMS server 放 参数 使 用 KMS 进行 激活 。 若 需要 清除 已 配置 的 KMS 服务 器 ,可 


以 使 用 


ms 参数 ; 若 正 在 使 用 企业 许可 证 密 钥 ,可 以 使 用 -ipk 二 key 二 参数 。 
舌 服 务 器 可 以 使 用 -ato 参数 。 重 新 运行 显示 的 许可 证 信息 ,查看 状态 ,显示 无 剩余 


要 激 


时 间 。 


能 。 


C:\Users\Administrator> cscript slmgr. vbs -ato 

正在 激活 Windows Server(R), ServerEnterpriseCore edition (claf4d90-dlbc-44ca-85d 
4-003ba33db3b9) ... 

产品 成 功 激活 . 

C:\Users\Administrator>cscript slmgr.vbs -dli 

名 称 : Windows Server(R)，ServerEnterpriseCore edition 

描述 : Windows Operating System - Windows Server(R), VOLUME_ KMSCLIENT channel 
部 分 产品 密 钥 : X4Q6V 

许可 证 状态 : 初始 宽 限 期 


7. 启用 自动 更 新 
为 了 保障 操作 系统 的 安全 ,应 及 时 从 微软 网 站 下 载 更 新 程序 ,以 修补 漏洞 \ 增 加 系统 性 
因此 ,自动 更 新 是 操作 系统 必 不 可 少 的 功能 。 在 Server Core 中 ,同样 也 需要 启用 自动 


更 新 功能 。 


登录 到 Server Core 系统 以 后 ,在 命令 提示 符 中 输入 如 下 命令 
cscript c:\windows\system32\scregedit. wsf /au 4 


按 Enter 键 运行 ,提示 “已 更 新 注册 表 ”, 已 


经 启用 了 自动 更 新 功能 ,如 图 3-17 所 示 。 世 


人 外 


中 ,数字 4 表示 启用 自动 更 新 ,如 果 禁 用 自动 更 新 则 使 用 数字 1 


一 管理 员 : CG \windows\system32\cmd exe 


jc: users vadninistratorycscript c:\windows\systen32\scregedit.wsf /au 4 
Microsoft CR) Windows Script Host Uersion 5-7 
版 权 所 有 CC》Microsoft Corporation 1996-2881。 保 留 所 有 权利 。 


已 更 新 注册 表 。 


je: sers\adninistrator》 


图 3-17 启用 自动 更 新 


0 
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使 用 /v 参数 则 可 查看 当前 的 配置 状态 。 在 命令 提示 符 中 输入 如 下 命令 。 
cscript c:\windows\system32\scregedit. wsf /au /v 


按 Enter 键 ,显示 如 图 3-18 所 示 , 可 以 查看 注册 设置 。 这 里 显示 数值 为 4, 表 示 已 启用 
自动 更 新 。 


:Nsers \adninistrator), 


图 3-18 查看 自动 更 新 状态 


8. 启用 远程 桌面 

Server Core 同样 支持 远程 桌面 管理 功能 ,可 以 在 网 络 中 的 远程 计算 机 上 利用 远程 桌面 
进行 管理 。 不 过 ,需要 先 在 Server Core 服务 器 上 更 改 注 册 表 设置 ,同时 在 防火 墙 启用 远程 
桌面 端口 后 ,客户 端 计算 机 才能 够 连接 服务 器 

(1) 以 管理 员 身 份 登录 到 Server Core 系统 ,在 命令 提示 符 中 输入 如 下 命令 


cd c:\windows\system32 

按 Enter 键 运行 ,进入 系统 目录 

(2) 在 命令 行 提示 符 中 输入 如 下 命令 
cscript scregedit. wsf /ar 0 


按 Enter 键 运行 , 即 可 更 新 注册 表 , 启 用 远程 管理 功能 
(3) 在 命令 行 提示 符 中 输入 如 下 命令 


slmgr.vbs -ato 


按 Enter 键 ,激活 服务 器 ,如 图 3-19 所 示 

此 时 ,为 Server Core 服务 器 启用 了 远程 桌面 功能 , 即 可 在 客户 端 计算 机 上 远程 连接 并 
进行 管理 了 。 

9。. 服务 器 关机 

服务 器 在 配置 网 络 服务 或 更 改 系统 配置 时 ,经 常会 要 求 重新 启动 。 但 由 于 Windows 
Server 2008 Server Core 中 没有 图 形 界 面 ,因此 ,无 法 像 普 通 Windows 一 样 通过 “开始 ”菜单 
来 关机 注销 和 重新 启动 。 不 过 ,可 以 使 用 shutdown 命令 来 实现 这 些 操作 。 该 命令 在 图 形 
界面 的 Windows Server 2008 中 同样 适用 。 
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:uinaovs、systenazycseript scregedit.uef /ar 
Microsoft CR) Windows script Host Version 5-7 

版 权 所 有 <c》 micresoft Corperation 1996-2981 。 保 留 所 有 权利 。 
已 更 新 注册 表 。 


indows \Systen32>s Ingr .vhs -ato 


:indows \Systen32>, 


图 3-19 启用 远程 管理 功能 
例如 ,现在 要 关闭 计算 机 ,可 在 命令 提示 符 中 输入 如 下 命令 
shutdown /s 


按 Enter 键 运行 ,显示 图 3-20 所 示 的 “您 将 要 被 注销 "对话 框 ,提示 “Windows 将 在 一 分 
钟 内 关闭 ”。 一 分 钟 之 后 , 系 会 自动 关闭 
注意 : 如 果 此 时 单 击 “ 关 闭 ” 按 钮 ,虽然 可 关闭 该 对 话 框 ,但 关机 计划 不 会 中 止 , 仍 在 后 


如 果 想 要 让 系统 自动 重 3 
符 中 输入 如 下 命令 


启动 ,并 且 设 置 延 时 为 10min(10min 二 600s), 可 在 命令 提示 


shutdown /r /t 600 


按 Enter 键 ,显示 图 3-21 所 示 的 “您 将 要 被 注销 ”对 话 框 ,提示 ”Windows 将 在 10 分 钟 
内 关闭 ”。 当 达到 10 分 钟 的 设 而 ,系统 就 会 自动 关机 并 重新 启动 


划 


人 全 李 碍 被 注 靖 划 年 。 wmdows 节 在 10 分 名 内 关 闭 * 
是。 wmdows 节 在 一 分 名 内 关闭 - 将 在 2008 年 6 月 27 日 vod11 时 关闭 


20 “您 将 要 被 注销 ”对 话 框 


10 分 钟 后 关闭 Windows 


提示 : 如 果 所 设置 的 延 时 时 间 少 于 一 分 钟 ,在 提示 框 中 就 会 显示 为 “Windows 将 在 一 分 
钟 内 关闭 ”。 

shutdown 命令 的 语法 格式 如 下 

oe OO NA Ye OY NL Ne Pe | Wy | WN ee 

[/c "comment"]] 

shutdown 命令 的 常用 参数 如 下 。 

(1) /?: 与 不 输入 任何 参数 一 样 , 显 示 帮 助 信息 。 

(2) /: 立即 注销 当前 账户 

(3) /s: 关闭 计算 机 。 


a 
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(4) /r: 关闭 并 重新 启动 计算 机 。 

(5) /g: 关闭 并 重新 启动 计算 机 。 但 系统 重新 启动 后 ,重新 启动 所 有 注册 的 应 用 程序 。 

(6) /t xxx: 设置 关机 延 时 时 间 为 xxx 秒 , 有 效 范 围 为 0 一 600, 默 认为 30。 默 认 已 设置 
/{ 参数 。 

(7) /a: 中 止 系统 关闭 ,但 只 能 在 超时 期 间 内 使 用 。 

(8) /c "comment”; 注释 重启 动 或 关闭 的 原因 。 最 多 允许 512 个 字符 。 

(9) /f: 强制 关闭 正在 运行 的 应 用 程序 , 且 不 出 现 警 告 。 使 用 /t xxx 默认 使 用 /f。 

注意 : 在 使 用 /s、/r 等 命令 关闭 或 重新 启动 系统 时 ,如 果 不 加 /t xxx 参数 , 则 默认 延 时 
时 间 为 一 分 钟 。 

10. 添加 角色 和 功能 

与 普通 Windows Server 2008 相同 ,Windows Server Core 在 安装 完成 后 ,安装 的 角色 
和 功能 非常 少 。 此 时 ,可 根据 需要 安装 所 需 的 角色 或 功能 。 在 Windows Server Core 中 ,不 
能 访问 普通 的 服务 器 管理 器 界面 添加 角色 和 服务 ,所 有 功能 (ADDS 除外 ) 都 是 通过 
Ocsetup 命令 添加 的 。 需 要 注意 的 是 ,该 命令 区 分 大 小 写 , 是 所 有 Windows Server 2008 安 
装 的 一 个 组 成 部 分 。 安 装 Active Directory 时 ,通过 dcpromo 命令 安装 二 进 制 文件 ,通过 无 
人 参与 应 答 文件 安装 配置 项 。 不 可 以 使 用 DCPROMO GUI, 只 能 使 用 无 人 参与 应 答 文件 或 
命令 行 参数 。 有 关 无 人 参与 Active Directory 安装 的 更 多 信息 ,参考 其 他 相关 资料 ,这 里 就 
不 再 歼 述 。 

印 载 角色 和 功能 使 用 的 命令 与 添加 角色 和 功能 的 命令 相同 ,只 不 过 要 在 末尾 添 
加 /uninstall 参数 。 唯 一 的 例外 是 ADDS ,外 载 ADDS 要 使 用 DCPROMO。 

表 3-2 和 表 3-3 分 别 列 出 了 组 件 的 名 称 以 及 这 些 组 件 在 功能 和 角色 中 对 应 的 名 称 。 运 
行 oclist 命令 可 以 获取 完整 列表 ,该 命令 是 Server Core 特定 的 命令 。 

表 3-2 服务 器 角色 和 Ocsetup 名 称 


服务 器 角色 Ocsetup 名 称 
Active Directory 轻型 目录 服务 (ADAM) DirectoryServices-ADAM-ServerCore 
DHCP DHCPServerCore 
DNS DNS-Server-Core-Role 
分 布 式 文件 系统 服务 DFSN-Server 
分 布 式 文件 系统 复制 (DFSR) DFSR-Infrastructure-ServerEdition 
文件 服务 File-Server-Core-Role 
文件 复制 服务 (FRS) FRS-Infrastructure 
TIS( 无 ASP. NET) IIS-WebServerRole( 加 上 可 视 的 组 件 ) 
网 络 文件 系统 (NFS) ServerForNFS-Base 
媒体 服务 器 MediaServer 
Hyper-V Microsoft-Hyper-V 
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表 3-3 服务 器 功能 和 Ocsetup 名 称 


服务 器 功能 


Ocsetup 名 称 


备份 


WindowsServerBackup 


BitLocker 驱动 程序 加 密 


BitLocker 


BitLocker 远程 管理 工具 


BitLockerRemoteAdminTool 


故障 转移 群集 


FailoverClusterCore 


多 路 径 IO Microsoft-Windows-MultipathIO 

NFS 客户 端 ClientForNFS-Base 

网 络 负载 平衡 NetworkLoadBalancingHeadlessServer 

服务 质量 QWAVE 

可 移动 存储 管理 Microsoft-Windows-RemovableStorageManagementCore 
SNMP SNMP-SC 


基于 UNIX 应 用 程序 的 子 双 


Ke 
村 


SUACore 


Telnet 客户 端 


TelnetClient 


Windows 激活 服务 (WAS) 


WAS-WindowsActivationService 


WINS 


WINS-SC 


默认 情况 下 , 若 
示 符 ,而 且 不 显示 完成 安装 时 间 


行 完 成 后 运行 Ocsetup 命令 。 


下 输入 如 下 命令 。 


start /w Ocsetup DHCPServerCore 


按 Enter 键 , 即 可 成 功 安装 DHCP 服务 
,可 以 看 到 


提示 。 安 装 完成 以 后 ,运行 oclist 命令 


行 Ocsetup 命令 时 有 工具 包 要 安装 , 则 在 后 台 安 装 时 立即 返回 命令 提 
为 了 解决 这 一 问题 ,需要 在 start/w 通知 执行 命令 并 在 执 
下 面 以 安装 DHCP 服务 器 角色 为 例 进行 说 明 , 在 命令 提示 符 


的 是 ,在 安装 过 程 中 不 会 显示 任何 
DHCPServerCore” 表示 


oe 
需要 】 


“已 安装 ; 是 示 ， 


DHCP 服务 器 角色 已 安装 ,如 图 3-22 所 示 


提示 : 如 果 要 趣 载 DHCP 服务 ,可 运行 命令 : 
3 所 示 的 提示 框 , 提 示 需 要 重 


uninstall ,并 且 会 显示 图 3-:? 


:NindovsASysten327atart /uv Ocsetup DHCPServerCore 
: Windows \Systen32Yoclist 


请 过 oose tap "exa 列 出 的 更 新 名 


ocsetup.exe 添加 或 下 除 Directory 
请 始终 使 用 DCPro 0 载 actioe 


ft -Vindous-ServerCore-Package 
中 BitLocker 
装 :Bitlocker-RenoteAdninTool 
ClientForNPS -Base 
DPEN-Server 
DPSR-Inf rastructure -ServerEdition 
:DHCPServerCore 


Directoryservices-DonainController-ServerFoundation 
装 :DNS-Server-Core-Role 

PailowerCluster-Core 

PRS-Infrastructure 

TIS-Welgerverhole 


安装 :1Is_PTPPublishingseruice 


甘 / 逢 载 服务 器 角色 或 可 选 
该 操作 可 能 导 玫 服 务 器 处 


start /w Ocsetup DHCPServerCore / 


新 启动 系统 才能 生效 


CTTRTTE3 本 
记 查 玫 。 术 - 是 ci 程序 名 个 理 

ee 

， 科 二 更 必 桂 在 重新 启动 后 二 可用 


EE 


已 安装 DHCPServerCore 


印 载 DHCP 服务 
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11. 安装 应 用 程序 

在 Windows Server 2008 中 ,Server Core 只 运行 开机 即 用 功能 , 即 所 支持 的 服务 器 角色 
和 功能 ,而 不 是 额外 的 应 用 程序 。 

Server Core 不 支持 主要 产品 ,例如 Exchange、SharePoint、SQL 等 。Server Core 添加 
了 管理 代码 支持 后 ,可 能 会 运行 额外 应 用 程序 。 但 Server Core 对 添加 的 应 用 程序 具有 很 高 
的 要 求 ,否则 Server Core 安装 和 普通 Windows 安装 就 没有 差别 而 言 了 。 

Server Core 上 可 以 安装 并 支持 代理 ,例如 备份 代理 Microsoft 操作 管理 器 (Microsoft 
Operations Manager, MOM) 和 系统 管理 服务 器 (System Management Server, SMS) 代 理 
等 。 这 些 代理 可 以 通过 远程 管理 控制 台 功 能 进行 管理 。 也 可 以 在 Server Core 上 安装 防 病 
毒 代 理 , 并 进行 远程 管理 ,例如 ,在 Server Core 上 运行 ForeFront。Server Core 上 还 可 以 安 
装 虚拟 机 条 目 。 如 果 代 理 没有 Shell 或 GUI 依赖 项 , 则 不 要 求 管理 代码 ,这 些 代理 就 可 以 在 
Server Core 上 运行 。 


要 安装 额外 软件 ,可 以 执行 安装 程序 可 执行 文件 或 使 用 下 列 命令 手动 安装 MSI 文件 。 


msiexec /i <application>. msi 
要 检查 已 安装 的 应 用 程序 ,可 以 使 用 wmic 命令 和 产品 功能 ,如 下 所 示 。 


C:\Windows\System32> wmic 

wmic: rootNcli 一 product 

AssignmentType Caption Description 

1 VMware Tools VMware Tools 


印 载 应 用 程序 也 可 以 使 用 wmic 命令 ,检查 应 用 程序 的 名 称 , 然 后 调用 印 载 ,如 下 所 示 。 


C:\Windows\System32> wmic product get name /value 
Name= VMware Tools 
C:\Windows\System32>wmic product where name= "VMware Tools" call uninstall 


3.3 系统 性 能 优化 


虽然 Windows Server 2008 系统 安装 或 升级 完成 后 即 可 正常 使 用 ,但 是 ,此 时 的 系统 配 
置 是 为 通用 网 络 服务 而 设置 的 ,难免 有 多 余 或 者 不 足 的 组 件 。 因 此 ,系统 管理 员 应 当 根据 服 
务 器 所 扮演 角色 的 不 同 ,进行 一 些 必 要 的 系统 优化 。 


3.3.1 系统 性 能 配置 规划 


目前 ,虽然 服务 器 的 硬件 配置 一 般 都 比较 高 ,但 仍 有 可 能 不 能 满足 需求 。 此 时 , 则 可 以 
通过 优化 系统 配置 ,提高 系统 性 能 ,使 服务 器 可 以 更 好 地 为 网 络 服务 。 

1. 禁用 系统 启动 项 目 

某 些 应 用 程序 在 安装 完成 后 会 自动 添加 至 系统 启动 组 ,以 便 在 启动 系统 时 自动 运行 。 
虽然 方便 了 用 户 应 用 ,但 是 这 不 仅 延 长 了 启动 时 间 ,还 会 在 启动 完成 后 自动 占用 系统 资源 。 
另外 ,对 于 服务 器 而 言 ,只 需 启 动 必要 的 应 用 程序 即 可 ,因此 建议 将 不 必要 的 程序 移 除 启 
动 组 。 
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2. 禁用 不 必要 的 服务 

服务 是 服务 器 对 网 络 提 供 服 务 的 基础 ,默认 情况 下 ,Windows Server 2008 会 按照 微软 
所 认为 的 用 户 服务 要 求 启 用 服务 ,但 这 并 不 一 定 符合 用 户 的 具体 网 络 要 求 ,此 时 , 则 需要 将 
不 必要 的 服务 关闭 。 

3. 关闭 缩 略 图 缓存 

Windows XP/2003/2008 系统 具有 缩 略图 视图 功能 ,用 户 可 以 在 不 打开 图 片 文 件 的 情 
况 下 看 到 缩小 后 的 图 片 ,并 且 可 以 将 其 保存 在 系统 缓存 中 ,再 次 浏览 时 可 以 直接 从 缓存 中 读 
取 , 加 快 了 浏览 速度 ,但 同时 也 会 占用 大 量 的 系统 缓存 。 如 果 用 户 不 希望 系统 进行 缓存 , 则 
可 以 利用 组 策略 关闭 缩 略 图 缓存 的 功能 。 


3.3.2 系统 启动 项 目 


依次 选择 “开始 ”一 “运行 ”命令 ,在 “ 打 
开 " 文 本 框 中 输入 msconfig 命令 , 单 击 “ 确 
定 ” 按 钮 , 即 可 启动 系统 配置 实用 程序 。 选 
择 “ 启 用 ”选项 卡 ,如 图 3-24 所 示 。 通 过 选 
中 或 者 取消 选中 指定 “启用 项 目前 的 复 选 i 一 
框 , 即 可 控制 其 是 否 随 系统 启动 而 自动 CI | | wm | 
运行 。 

3.3.3 关闭 不 必要 服务 


通常 情况 下 ,可 以 通过 关闭 相应 服务 的 方法 关闭 非 必要 端口 ,例如 ,需要 关闭 SNMP 陷 
阱 服务 ,其 操作 步骤 如 下 。 

(1) 依次 选择 “控制 面板 ”>"“ 管 理工 具 ”>“ 服 务 ” 选 项 ,系统 显示 “服务 ”控制 台 窗 口 , 如 
图 3-25 所 示 。 

(2) 在 右 侧 的 服务 窗口 中 找到 并 双击 SNMP Trap 服务 选项 ,系统 显示 图 3-26 所 示 的 
“SNMP Trap 的 属性 (本 地 计算 机 )” 对 话 框 。 

(3) 如 果 服 务 已 经 启动 ,可 以 单 击 “ 停 止 " 按 钮 停止 该 服务 ,然后 在 “启动 类 型 "下 拉 列 表 
框 中 选择 “已 禁用 ”选项 。 

(4) 单 击 “确定 "按钮 保存 设置 。 

如 果 要 开启 该 端口 只 要 先 在 “启动 类 型 "下 拉 列 表 框 中 选择 “自动 ”选项 , 单 击 “确定 ”按钮 ， 
再 打开 该 服务 ; 在 “服务 状态 ”中 单 击 “ 启 动 ” 按 钮 即 可 开放 该 端口 ; 最 后 单 击 “ 确 定 ” 按 钮 即 可 。 


3.3.4 关闭 缩 略图 缓存 


选择 “开始 ”一 "运行 ”命令 ,在 打开 的 “运行 对话 框 中 输入 gpedit. msc, 然 后 单 击 “ 确 定 ” 
按钮 ,打开 * 本 地 组 策略 编辑 器 ?窗口 。 依 次 展开 “用户 配置 * ~” 管理 模板 ”一 ”Windows 组 
件 ”>“Windows 资源 管理 器 "目录 ,双击 “关闭 缩 略 图 的 缓存 "链接 ,打开 其 属性 窗口 ,选中 
“已 禁用 ? 单 选 按钮 ,如 图 3-27 所 示 。 最 后 单 击 “ 确 定 ” 按 钮 ,保存 设置 即 可 。 需 要 注意 的 是 ， 
所 修改 的 组 策略 并 不 会 马上 生效 ,需要 等 待 系统 自动 更 新 组 策略 后 才 会 生效 。 如 果 需 要 设 
置 立即 生效 ,可 以 在 命令 提示 符 中 使 用 gpupdate /force 命令 ,手动 刷新 组 策略 。 


图 3-24 系统 配置 实用 程序 


a 
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CTE ox 
文件 中 振作 亚 看 MW 寺 劲 00 
中 a 四 


EE 
一 了 二 天 


-2 | 
当众 此 外 启动 问 务 了 时， 你 可 捞 证 所 通用 的 启动 部 痢 。 
万 才 茹 虽 - = 
FE 三 [可 ew |_enw | 
图 3-25 “服务 "窗口 


图 3-26 服务 属性 


注意， 对 于 安全 性 王 关 生 要 的 闪 训 
北 工作 站 或 计算 机 ， 应 读 记 用 此 六 
A 


于: 


ET 
上 一 沾 设置 0) 下 一 个 设置 0 


图 3-27 关闭 缩 略 图 缓存 


3.4 环境 与 系统 变量 的 管理 


内 存 是 除 CPU 之 外 最 重要 的 计算 机 组 件 之 一 。 内 存 可 用 空间 大 小 将 直接 影响 到 整个 
机 器 性 能 。 随 着 操作 系统 和 应 用 软件 做 得 越 来 越 大 ,对 内 存 的 要 求 也 越 来 越 高 。 但 由 于 制 
作 工 艺 的 原因 


,物理 内 存 的 容量 具有 一 定 的 局 限 性 。 因 此 为 了 解决 内 存 容量 不 足 的 问题 , 微 
软 推出 了 虚拟 内 存 的 概念 ,即使 用 硬盘 的 容量 来 实现 内 存 的 功能 。 
3.4.1 设置 虚拟 内 存 


物理 内 存 通常 被 简称 为 内 存 , 即 实 实在 在 存在 的 内 存 条 。 一 般 人 们 常 说 的 512MB 内 
存 、1GB 内 存 都 是 指 物理 内 存 。 而 虚拟 内 存 是 在 硬盘 里 划 出 一 块 空间 ,作为 虚拟 的 “备用 内 
存 ”, 当 物理 内 存 不 够 时 , 即 可 调用 虚拟 内 存 。 


ee 图 
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虚拟 内 存 是 为 了 满足 程序 的 运行 要 求 ,扩大 可 用 “内 存 ” 空 间 而 设置 的 。 默 认 情 况 下 ， 
Windows Server 2008 会 自动 管理 所 有 驱动 器 的 分 页 文件 大 小 ,但 并 不 是 所 有 情况 都 适合 
自动 管理 ,因此 ,用 户 应 根据 实际 需要 修改 虚拟 内 存 的 大 小 。 

(1) 右 击 “计算 机 ”图标 ,从 快捷 菜单 中 选择 “属性 ?命令 。 在 打开 的 “系统 ”窗口 中 单 
击 “ 高 级 系统 设置 "按钮 ,打开 “系统 属性 ”对 话 框 ,然后 选择 图 3-28 所 示 的 “高 级 ”选项 卡 。 

(2) 在 “性 能 ”选项 区 域 中 单 击 “ 设 置 " 按 钮 ,打开 “性 能 选项 ”对 话 框 ,然后 选择 “高 级 ” 选 
项 卡 , 如 图 3-29 所 示 。 

(3) 在 “虚拟 内 存 ” 选 项 区 域 中 单 击 “ 更 改 " 按 钮 ,显示 图 3-30 所 示 的 “虚拟 内 存 ” 对 话 框 。 
取消 选中 “自动 管理 所 有 驱动 器 的 分 页 文件 大 小 " 复 选 框 ,在 “驱动 器 [ 卷 标 ]” 列 表 中 ,选择 虚拟 
内 存 所 在 的 硬盘 分 区 (该 分 区 应 该 有 足够 大 的 空间 )。 选 中 “ 自 定义 大 小 ” 单 选 按 钮 ,在 “初始 大 
小 (MB)” 和 * 最 大 值 (MB)" 文 本 框 中 ,分 别 输入 虚拟 交换 文件 大 小 的 准确 数值 即 可 。 


划 | 划 
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(4) 依次 单 击 “ 确 定 ” 按 钮 ,保存 设置 。 并 重新 启动 计算 机 , 即 可 使 设置 生效 。 
3.4.2 系统 变量 的 管理 


系统 变量 由 操作 系统 定义 的 数据 存储 位 置 ,无 论 谁 登录 该 计算 机 ,该 位 置 都 是 相同 的 。 
系统 变量 由 Windows 定义 并 应 用 到 所 有 计算 机 用 户 。 对 系统 环境 的 更 改 将 写 入 注册 表 ,而 
且 通 常 需要 重启 计算 机 才能 生效 。 

系统 变量 是 环境 变量 的 一 部 分 ,包含 关于 系统 以 及 当前 登录 用 户 的 环境 信息 的 字符 串 ， 
一 些 软 件 程序 可 以 使 用 该 信息 确定 临时 文件 夹 的 位 置 等 。 系 统 变 量 是 系统 中 设置 的 变量 ， 
默认 情况 下 系统 变量 不 允许 用 户 随便 更 改 。 

这 里 以 修改 TEMP 缓存 目录 为 例 介 绍 具体 设置 系统 变量 的 操作 方法 。 

(1) 右 击 “计算 机 ”图 标 , 在 快捷 菜单 中 选择 “属性 ”命令 ,打开 “系统 ”窗口 。 在 “任务 ” 
域 中 , 单 击 “ 高 级 系统 设置 "按钮 ,显示 图 3-31 所 示 的 “系统 属性 ”对 话 框 。 

(2) 单 击 “环境 变量 ?按钮 ,显示 图 3-32 所 示 的 “环境 变量 ”对 话 框 。 在 “系统 变量 "列表 
中 ,选择 TEMP 选项 。 
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(3) 单 击 “ 编 辑 ” 按 钮 ,显示 图 3-33 所 示 的 "编辑 系统 变量 ”对话 框 。 在 “变量 值 " 文 本 杠 
中 输入 想 要 修改 的 变量 值 即 可 ,这 里 修改 值 为 4:\TEMP。 
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(4) 单 击 “ 确 定 ” 按 钮 ,保存 设置 即 可 。 使 用 相同 操作 ,可 以 修改 其 他 系统 变量 。 需 要 注 
意 的 是 ,有 些 系统 变量 可 能 会 包括 多 个 值 ,例如 PATH 变量 ,此 时 ,可 以 使 用 英文 输入 状态 
下 的 分 号 (;) 将 多 个 变量 分 隔 开 。 


3.5 “可靠 性 和 性 能 监视 器 


前 面 所 讲 的 内 容 均 是 微软 所 提供 的 提高 系统 性 能 的 方法 , 除 此 之 外 ,在 实际 网 络 管理 过 
程 中 ,监控 系统 性 能 也 是 非常 必要 的 。 可 靠 性 和 性 能 监视 器 是 Windows Server 2008 内 置 
的 监控 组 件 , 将 复杂 的 计数 器 监测 数据 以 图 表 模 式 展示 ,最 终结 果 为 一 张 完整 的 图 标 或 者 一 
份 完整 的 分 析 报 告 。 管 理 员 可 以 将 生成 的 图 表 作 为 评测 系统 的 性 能 基线 ,如 果 在 非 正常 状 
态 下 计算 机 出 现 性 能 问题 ,通过 比较 即 可 发 现 问 题 的 根源 ,加 快 排除 故障 的 速度 。 


3.5.1 性 能 监视 器 


性 能 是 用 来 评测 计算 机 执行 应 用 程序 以 及 执行 系统 任务 速度 快慢 的 标准 ,从 总 体 上 讲 ， 
物理 磁盘 的 访问 速度 .内存 的 可 用 性 、 处 理 器 的 速度 以 及 网 络 带宽 都 会 影响 到 系统 性 能 。 服 
务 器 在 网 络 环境 中 的 作用 非常 重要 ,特别 需要 管理 员 对 其 性 能 以 及 系统 的 可 用 性 进行 监测 ， 
确保 服务 器 平稳 运行 。 

1. 常用 计数 器 

系统 的 整体 性 能 由 许多 因素 决定 ,例如 CPU 利用 率 、CPU 队列 长 度 ( 即 有 多 少 任务 正 
在 等 待 CPU 的 服务 ) 磁盘 忙 困 程度 ( 即 磁盘 驱动 器 有 多 少时 间 用 于 响应 请 求 )、 可 用 的 物 
理 内 存 、 网 络 接口 的 利用 情况 等 , 表 3-4 所 示 为 常用 的 性 能 计数 器 。 
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表 3-4 常用 计数 器 


性 能 对 象 


计 数 器 


提供 的 信息 


Memory 


Available Bytes 


Available Bytes 显示 出 当前 空闲 的 物理 内 存 总 量 。 当 此 数值 
变 小 时 , Windows 开始 频繁 地 调用 磁盘 页 面 文件 。 如 果 此 数 
值 很 小 ,例如 小 于 5MB, 系 统 会 将 大 部 分 时 间 消 耗 在 操作 页 
面 文件 上 


Memory 


% Committed Bytes 
In Use 


% Committed Bytes In Use 是 Committed Bytes 与 Commit 
Limit 之 间 的 比值 。Committed Memory 指 如 果 需 要 写 和 磁盘 
时 已 在 分 页 文件 中 保留 空间 的 处 于 使 用 中 的 物理 内 存 。 
Commit Limit 是 由 分 页 文件 大 小 决定 。 如 果 扩 大 了 分 页 文 
件 , 该 比例 就 会 减 小 。 此 计数 器 只 显示 当前 百分比 ; 而 不 是 
一 个 平均 值 


Memory 


Page Faults/ sec 


Page Faults/ sec 是 指 处 理 器 处 理 错误 页 的 综合 速率 。 用 错误 
页 数 / 秒 来 计算 。 当 处 理 器 请 求 一 个 不 在 其 工作 集 ( 在 物理 内 
存 中 的 空间 ) 内 的 代码 或 数据 时 出 现 的 页 错误 。 此 计数 器 包 
括 硬 错误 (那些 需要 磁盘 访问 的 ) 和 软 错误 (在 物理 内 存 的 其 
他 地 方 找 到 的 错误 页 )。 许 多 处 理 器 可 以 在 有 大 量 软 错误 的 
情况 下 继续 操作 。 但 是 , 硬 错误 可 以 导致 明显 的 拖延 。 此 计 
数 器 显示 用 上 两 个 实例 中 观察 到 的 值 之 间 的 差 除 以 实例 间隔 
的 持续 时 间 所 得 的 值 


Network 
Interface 


Bytes Total/sec 


Bytes Total/ sec 是 发 送 和 接收 字 节 的 速率 ,包括 帧 字符 在 内 


Network 
Interface 


Packets/sec 


Packets/sec 为 发 送 和 接收 数据 包 的 速率 


Physical Disk 


% Busy Time 


% Busy Time 指 磁盘 驱动 器 忙于 为 读 取 或 写 人 请 求 提供 服务 
所 用 的 时 间 的 百分比 


Physical Disk 


Avg. Disk Queue 


Length 


Avg. Disk Queue Length 指 读 取 和 写 人 请 求 ( 为 所 选 磁盘 在 
实例 间隔 中 列队 的 ?的 平均 数 


Physical Disk 


Current Disk Queue 
Length 


Current Disk Queue Length 指 在 收集 操作 数据 时 在 磁盘 上 未 
完成 的 请 求 的 数目 。 包 括 在 快照 内 存 时 正在 为 其 提供 服务 中 
的 请 求 。 这 是 一 个 即时 长 度 而 非 一 定 间 隔 时 间 的 平均 值 。 多 
主轴 磁盘 设备 可 以 一 次 有 多 个 请 求 操作 ,但 是 其 他 同时 发 生 
的 请 求 为 等 候 服 务 。 此 计数 器 可 能 会 反映 一 个 暂时 的 高 或 低 
的 列队 长 度 , 但 是 如 果 在 磁盘 驱动 器 存在 持续 负载 ,可 能 会 长 
时 间 保 持 很 高 的 值 。 请 求 等 待 时 间 与 此 列队 的 长 度 减 去 磁盘 
上 的 主轴 成 正比 。 此 差 值 应 小 于 2 才能 保持 良好 的 性 能 


Processor 


% Processor Time 


% Processor Time 指 处 理 器 执行 非 闲 置 线程 时 间 的 百分比 。 
此 计数 器 设计 成 用 来 作为 处 理 器 活动 的 主要 指示 器 。 它 通过 
在 每 个 范例 间隔 中 衡量 处 理 器 用 于 执行 闲置 处 理 线程 的 时 
间 , 并 且 用 100% 减 去 该 值得 出 (每 个 处 理 器 有 一 个 闲置 线 
程 , 该 线程 在 没有 其 他 线程 可 以 运行 时 消耗 周期 ) ,可 将 其 视 
为 范例 间隔 用 于 做 有 用 工作 的 百分比 


Processor 


% User Time 


% User Time 指 用 于 用 户 模式 的 非 闲置 处 理 器 时 间 的 百分比 
(用 户 模式 是 为 应 用 程序 、 环 境 分 系统 和 整数 分 系统 设计 的 有 
限 处 理 模式 。 另 一 个 模式 为 特权 模式 ,是 为 操作 系统 组 件 设 
计 的 并 且 允 许 直接 访问 硬件 和 所 有 内 存 。 操 作 系 统 将 应 用 程 
序 线程 转换 成 特权 模式 以 访问 操作 系统 服务 )。 此 计数 值 将 
平均 忙 时 作为 实例 时 间 的 一 部 分 显示 


Server 
Work Queues 


Queue Length 


Queue Length 指 CPU 当前 的 服务 器 作业 队列 长 度 。 队 列 长 
度 长 时 间 超 过 时 可 能 表示 处 理 器 堵塞 。 此 值 为 即时 计数 ,不 
是 一 段 时 间 的 平均 值 
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续 表 
性 能 对 象 计 数 器 提供 的 信息 
Processor Queue Length 是 指 处 理 队 列 中 的 线程 数 。 即 使 在 
有 多 个 处 理 器 的 计算 机 上 处 理 器 时 间 也 会 有 一 个 单 队列 。 与 
ba Processor 磁盘 计数 器 不 同 , 该 计数 器 仅 计数 就 绪 的 线程 ,而 不 计数 运行 
到 Queue Length 中 的 线程 。 如 果 处 理 器 队列 中 总 是 有 两 个 以 上 的 线程 通常 表 
示 处 理 器 堵塞 。 此 计数 器 仅 显 示 上 一 次 观察 的 值 ; 而 不 是 一 
个 平均 值 
二 Segments Segments Retransmitted/sec 指 程序 段 重新 传输 的 速率 , 即 传 
Retransmitted/sec 输 的 程序 段 中 包含 一 个 或 多 个 以 前 传输 过 的 字 节 
2. 启动 性 能 监视 器 
Windows Server 2008 中 提供 了 多 种 启动 性 能 监视 器 的 方法 ,常用 的 启动 方法 是 命令 
行 模式 和 图 形 模式 。 


(1) 图 形 模式 启动 方法 

依次 选择 “开始 ">" 管理 工具 ”一 “可 靠 性 和 性 能 监视 器 "命令 ,显示 “可 靠 性 和 性 能 监视 
器 ”窗口 。 依 次 展开 “可 靠 性 和 性 能 ”一 “监视 工具 ”>“ 性 能 监视 器 ”目录 , 即 可 显示 “性 能 监 
视 器 "窗口 ,如 图 3-34 所 示 。 
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图 3-34 “性 能 监视 器 "窗口 


另外 “性 能 监视 器 "窗口 还 可 以 在 “服务 器 管理 器 "窗口 中 打开 ,依次 选择 “开始 ”>“ 服 
务 器 管理 器 ”命令 ,打开 “服务 器 管理 器 "窗口 ,依次 展开 “服务 器 管理 器 "一 “诊断 ”>“ 可 靠 性 
和 性 能 ”>“ 监 视 工 具 ” 一 “性 能 监视 器 "目录 即 可 ,如 图 3-35 所 示 。 

(2) 命令 行 模式 启动 方法 

QO@ 依次 选择 “开始 ”一 “运行 "命令 ,打开 “运行 "对 话 框 ,在 “打开 ”文本 框 中 输入 
perfmon/sys, 如 图 3-36 所 示 。 

@ 单 击 “ 确 定 ” 按 钮 ,启动 “性 能 监视 器 "窗口 ,如 图 3-37 所 示 。 

3. 管理 性 能 监视 器 

性 能 监视 器 通常 是 在 MMC 控制 台 窗口 打开 ,而 实际 上 是 通过 性 能 计数 器 监视 计算 机 
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图 3-35 ”性 能 监视 器 
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图 3-36 “运行 "对 话 框 图 3-37 使 用 命令 启动 性 能 监视 器 


系统 的 性 能 ,通过 连续 跟踪 产生 图 表 , 根 据 图 表 即 可 查看 计算 机 的 性 能 。 性 能 监视 器 具体 常 
用 的 管理 任务 如 下 。 

(1) 添加 计数 器 

计数 器 是 衡量 计算 机 性 能 的 重要 指标 ,默认 状态 下 没有 部 署 任 何 计数 器 ,在 Windows 
Server 2008 中 添加 所 有 组 件 计 数 器 的 方法 相同 ,这 里 以 添加 监控 CPU 计数 器 为 例 说 明 如 
何 添加 计数 器 。 

QO 在 “性 能 监视 器 ”窗口 中 单 击 轩 按钮 ,显示 “添加 计数 器 ”对 话 框 。 在 “可 用 计数 器 ” 
区 域 的 “从 计算 机 选择 计数 器 "下拉 列 表 框 中 选择 需要 监视 的 目标 计算 机 ,本 例 中 选择 “本 地 
计算 机 ”。 在 “从 计算 机 选择 计数 器 ”列表 中 选择 Processor 选项 , 单 击 蜀 按钮 ,展开 该 选项 
的 所 有 计数 器 ,如 图 3-38 所 示 。 

@ 选择 目标 计数 器 ,在 “ 选 定 对 象 的 实例 ?列表 中 选择 目标 实例 。 如 果 选 择 * 所 有 实 
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图 3-38 “添加 计数 器 ”对话 框 


例 ” 选 项 , 则 监视 目标 计算 机 中 的 所 有 CPU 对 象 。 如 果 存 在 多 个 CPU, 在 列表 中 显示 
CPU 的 索引 号 ,例如 0、1。 选 择 “0” 表 示 选 择 第 一 个 CPU, 选 择 “1” 表 示 选 择 第 2 个 CPU 。 

@ 单 击 “添加 ”按钮 ,将 选择 的 计数 器 添加 到 “添加 的 计数 器 "列表 中 ,如 图 3-39 所 示 。 
如 果 需 要 删除 计数 器 ,在 “添加 的 计数 器 "列表 中 ,选择 需要 删除 的 计数 器 , 单 击 " 删 除 ” 按 钮 
即 可 。 
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图 3-39 成 功 添加 计数 器 


@ 单 击 “确定 ”按钮 ,选择 的 计数 器 添加 到 监视 图 表 中 ,自动 启动 该 性 能 计数 器 ,开始 监 
视 计 算 机 的 性 能 ,如 图 3-40 所 示 。 

(2) 调整 图 表 显示 

性 能 计数 器 默认 显示 模式 为 “线条 ”, 管 理 员 还 可 以 根据 个 人 习惯 修改 模式 为 "直方 图 ” 
和 “报告 "。 具 体操 作 步 又 如 下 : 在 “性 能 监视 器 "窗口 中 , 单 击 加 按钮 ,可 以 选择 计数 器 的 
显示 模式 。 选 择 “ 直 方 图 ”选项 ,显示 图 3-41 所 示 的 窗口 ; 选择 “报告 ”选项 ,显示 图 3-42 所 
示 的 窗口 。 


图 3-41 “直方 图 "显示 模式 


图 3-42 “报告 "显示 模式 
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(3) 删除 计数 器 

对 于 某 些 无 效 的 计数 器 ,需要 将 其 删除 。 具 体操 作 步 又 如 下 : 选择 目标 计数 器 (颜色 为 
绿色 ) , 单 击 蕊 按钮 , 即 可 删除 选择 的 计数 器 。 

(4) 突出 显示 计数 器 

在 实际 使 用 过 程 中 ,可 能 会 同时 启用 多 个 被 监视 的 计数 器 ,如 果 管 理 员 需要 查看 其 中 的 
一 个 计数 器 ,可 以 使 用 “突出 显示 ”功能 ,查看 选择 的 计数 器 。 

选择 目标 计数 器 , 单 击 虱 按钮 .监视 窗口 中 选择 的 计数 器 ,所 选中 的 计数 器 将 以 加 粗 黑 
线条 显示 ,如 图 3-43 所 示 。 
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图 3-43 突出 显示 计数 器 


(5) 冻结 显示 

冻结 显示 完成 的 功能 是 停止 监视 计数 器 ,保持 当前 的 状态 。 需 要 注意 的 是 ,该 功能 将 停 
止 监视 所 有 的 计数 器 。 

选择 目标 计数 器 (颜色 为 绿色 ), 单 击 咀 按 钮 :冻结 选择 的 计数 器 ,如 图 3-44 所 示 。 命 
令 执行 后 ,将 不 再 动态 监视 启用 的 计数 器 。 

(6) 隐藏 计数 器 

如 果 监 视 的 计数 器 过 多 ,将 不 利于 管理 .分 析 计算 机 的 当前 状态 ,此 时 ,可 以 在 图 表 中 隐 
藏 部 分 不 常用 的 计数 器 ,只 保留 特别 需要 关注 的 计数 器 。 

在 “性 能 监视 器 "窗口 中 ,选择 需要 隐藏 的 目标 计数 器 ,在 监视 图 表 中 右 击 要 隐藏 的 计数 
器 ,在 快捷 菜单 中 选择 “隐藏 选中 的 计数 器 ”命令 , 即 可 隐藏 所 选择 的 计数 器 。 

(7) 存储 监视 图 像 

因为 监视 图 表 可 以 作为 衡量 服务 器 性 能 的 参考 资料 ,因此 需要 将 这 些 监视 图 像 保存 到 
磁盘 中 ,以 备 日 后 使 用 。 

在 监视 图 表 中 右 击 ,在 快捷 菜单 中 选择 “图 像 另 存 为 ”命令 ,显示 图 3-45 所 示 的 “另存 
为 "对话 框 ,输入 文件 名 并 设置 图 片 格式 。 单 击 “ 保 存 ” 按 钮 , 即 可 将 当前 的 监视 图 表 保 存 为 
图 片 ,默认 图 片 格式 为 GIF 格式 。 
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图 3-45 存储 监视 图 像 


3.5.2 可 靠 性 监视 器 


可 靠 性 监视 器 是 Windows Server 2008 操作 系统 内 置 监视 功能 ,通过 该 功能 管理 员 可 
以 了 解 服务 器 系统 运行 状况 。 从 Windows Server 2008 操作 系统 安装 成 功 时 开始 ,每 隔 24 
个 小 时 ,系统 就 会 对 统计 出 来 的 数据 内 容 进 行 统计 ,并 自动 生成 一 个 系统 稳定 性 系数 ,通常 
该 系数 数值 位 于 0 一 10 之 间 ,数值 越 高 说 明 系统 的 可 靠 性 越 高 ,该 系数 数值 将 自动 显示 在 可 
靠 性 图 表 中 。Windows Server 2008 操作 系统 自动 对 Windows 故障 、 硬 件 故障 .应 用 程序 故 
障 、 软 件 安装 ( 印 载 ) 以 及 其 他 故障 进行 可 靠 性 统计 。 当 可 靠 性 监视 器 连续 收集 28 天 的 数据 
后 ,可靠 性 监视 器 图 表 将 显示 一 条 使 用 黑色 方块 节点 串联 起 来 的 实 线 , 显 示 计 算 机 在 一 段 时 
间 区 域内 的 运行 状况 。 

1. 可 靠 性 监视 器 概述 

“可 靠 性 监视 器 ”窗口 包含 两 个 显示 区 域 ,上 面 区 域 是 “系统 稳定 性 图 表 ”, 下 面 区 域 为 
“系统 稳定 性 报告 ,显示 系统 自动 统计 的 关联 数据 。 
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(1) 系统 稳定 性 图 表 

系统 稳定 性 图 表 的 上 半 部 分 显示 稳定 性 系数 图 表 。 在 该 图 表 的 下 半 部 分 显示 跟踪 的 可 靠 
性 事件 ,该 事件 将 有 助 于 系统 的 稳定 性 测量 ,或 者 提供 有 关 软 件 安装 和 删除 的 相关 信息 。 当 
检测 到 每 种 类 型 的 一 个 或 多 个 可 靠 性 事件 时 ,在 该 日 期 的 列 中 会 显示 一 个 图 标 , 如 图 3-46 
所 示 。 图 标的 具体 含义 如 下 。 

@ 峙 信 息 图 标 ,该 图 标 所 在 的 位 置 表示 在 该 位 置 有 操作 成 功 的 提示 信息 存在 。 

@ 全 警告 图 标 , 该 图 标 所 在 的 位 置 表示 在 该 位 置 有 安全 隐患 操作 存在 。 

@ 图 错 误 图 标 , 该 图 标 所 在 的 位 置 表示 在 该 位 置 有 错误 操作 存在 。 

团 .可 -黑色 方块 图 标 ,该 图 标 所 在 的 位 置 表示 每 一 天 的 事件 采集 点 ,每 一 个 事件 采集 
点 包含 5 个 方面 的 信息 ,分 别 是 : Windows 故障 信息 ,硬件 故障 信息 、 应 用 程序 故障 信息 、 软 
件 安装 ( 印 载 ) 信 息 、 其 他 故障 信息 。 


图 3-46 系统 稳定 性 图 表 


Windows Server 2008 操作 系统 自动 对 每 一 个 事件 采集 点 收集 来 的 5 个 方面 信息 进行 
综合 评估 ,并 对 系统 的 运行 稳定 性 进行 量化 评估 ,其 中 最 稳定 的 系统 状态 ,其 可 靠 性 的 评估 
分 为 10 分 。 随 着 系统 运行 时 间 的 推移 ,系统 运行 的 可 靠 性 将 逐步 下 降 。 

默认 情况 下 ,可 靠 性 监视 器 显示 最 近日 期 的 数据 。 若 要 查看 特定 日 期 的 数据 ,选择 系统 
稳定 性 图 表 中 的 “日 期 ”, 或 者 单 击 日 期 下 拉 列 表 框 选择 “选择 日 期 "选项 ,在 日 期 列表 中 选择 
目标 日 期 ,如 图 3-47 所 示 。 

车 要 查看 所 有 可 用 的 历史 数据 , 单 击 日 期 下 拉 列 表 框 选择 “全 部 ”选项 , 即 可 显示 所 有 日 
期 可 靠 性 监视 结果 。 如 果 采 集 的 数据 超过 30 天 , 则 使 用 系统 稳定 性 图 表 底 部 的 滚动 栏 , 浏 
览 可 见 范围 以 外 的 日 期 。 

(2) 系统 稳定 性 报告 

系统 稳定 性 报告 能 够 帮助 管理 员 通 过 识别 产生 的 事件 确定 造成 系统 稳定 性 降低 的 原 
因 。 单 击 每 个 可 靠 性 事件 类 别 左 侧 的 十 图 标 , 可 以 查看 事件 列表 。 如 果 选 择 系统 稳定 性 图 
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表 中 的 日 期 列 , 则 系统 稳定 性 报告 将 显示 该 日 期 的 事件 。 若 要 查看 系统 稳定 性 图 表 中 的 所 
有 事件 或 选择 可 见 范围 以 外 的 日 期 ,选择 日 期 下 拉 列 表 框 并 使 用 日 历 , 或 选择 “所 有 日 期 ” 选 
项 ,查看 选择 的 时 间 区 间 产 生 的 与 可 靠 性 相关 的 事件 。 系 统 稳 定性 报告 包括 以 下 5 种 类 型 
的 事件 ,分别 是 : 软件 安装 ( 印 载 ) ,应 用 程序 故障 ,硬件 故障 、Windows 故障 以 及 其 他 故障 。 

2. 启动 可 靠 性 监视 器 

启动 可 靠 性 监视 器 与 启动 性 能 监视 器 相似 ,同样 可 以 通过 命令 行 模式 和 图 形 模式 启动 。 

(1) 命令 行 模式 

打开 “运行 ”对话 框 ,在 “打开 ”文本 框 中 输入 perfmon, 单 击 “ 确 定 ” 按 钮 ,显示 图 3-48 所 
示 的 “可 靠 性 和 性 能 监视 器 "窗口 。 依 次 选择 “可 靠 性 和 性 能 ”>“ 监 视 工具 ”>“ 可 靠 性 监视 
器 ?选项 , 即 可 显示 "可 靠 性 监视 器 ”窗口 。 
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图 3-48 “可 靠 性 和 性 能 监视 器 "窗口 
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(2) 图 形 模式 

依次 选择 “开始 ”一 “管理 工具 ”一 “可 靠 性 和 性 能 监视 器 "命令, 打开“ 可靠 性 和 性 能 监视 
器 ”窗口 。 依 次 展开 “可 靠 性 和 性 能 ”一 “监视 工具 ”->“ 可 靠 性 监视 器 ”目录 , 即 可 显示 “可 靠 
性 监视 器 ”窗口 。 

3. 监控 系统 数据 

Windows Server 2008 的 可 靠 性 监视 器 ,自动 监控 Windows 故障 、 硬 件 故 障 、 应 用 程序 
故障 、 软 件 安装 ( 印 载 ) 以 及 其 他 故障 类 别 的 错误 , 当 错 误 发 生 后 ,管理 员 通过 可 靠 性 图 表 即 
可 发 现 并 捕捉 产生 的 错误 ,了 解 错误 产生 的 原因 。 

(1) 监控 指定 日 期 数据 

在 “可 靠 性 监视 器 ”窗口 选择 某 一 天 的 可 靠 性 系数 后 ,在 “系统 稳定 性 报告 "区域 看 到 对 
应 这 一 天 的 详细 统计 数据 ,如 图 3-49 所 示 。 管 理 员 可 以 监控 选择 的 计算 机 是 否 出 现 
Windows 故障 ,是 否 存在 硬件 故障 ,应 用 程序 在 使 用 过 程 中 是 否 发 生 过 意外 ,有 没有 进行 过 
软件 安装 操作 或 者 卸载 操作 等 ,依照 统计 结果 ,管理 员 可 以 在 第 一 时 间 采 取 措 施 保 护 服务 器 
操作 系统 安全 ,例如 升级 硬件 驱动 程序 ,及 时 更 新 Windows 系统 补丁 程序 ,或 者 将 存在 稳定 
性 隐患 的 软件 及 时 从 系统 中 外 载 等 。 
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图 3-49 监控 指定 日 期 数据 


(2) 监控 软件 安装 (外 载 ) 

在 “系统 稳定 性 报告 "区域 , 选 择 * 软 件 安装 ( 务 载 ) 选 项 , 单 击 该 选项 左 侧 的 十 图 标 , 显 
示 指 定 日 期 发 生 的 软件 安装 ( 印 载 ) 行 为 。 

(3) 监控 应 用 程序 故障 

在 “系统 稳定 性 报告 区域, 选择 “应 用 程序 故障 选项, 单 击 该 选项 左 侧 的 十 图 标 , 可 以 
查看 指定 日 期 应 用 程序 出 现 的 故障 。 

(4) 监控 硬件 故障 

在 “系统 稳定 性 报告 ”区域 ,选择 “硬件 故障 ”选项 , 单 击 该 选项 左 侧 的 十 图 标 ,可 以 查看 
指定 日 期 计算 机 硬件 出 现 的 故障 。 
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(5) 监控 Windows 故障 

在 “系统 稳定 性 报告 ”区域 , 选 择 “Windows 故障 ”选项 , 单 击 该 选项 左 侧 的 十 图 标 ,可 以 
查看 指定 日 期 Windows 操作 系统 出 现 的 故障 。 

(6) 监控 其 他 故障 

在 “系统 稳定 性 报告 "区 域 , 选 择 “ 其 他 故障 "选项 , 单 击 该 选项 左 侧 的 十 图 标 , 可 以 查看 
指定 日 期 系统 中 出 现 的 其 他 故障 。 


3.5.3 数据 收集 器 


数据 收集 器 集 是 Windows 可 靠 性 和 性 能 监视 器 中 性 能 监视 和 报告 的 功能 模块 ,可 以 将 
多 个 数据 收集 点 组 织 成 可 用 于 查看 或 记录 性 能 的 单个 组 件 。 数 据 收集 器 集 是 数据 收集 器 的 
集合 ,而 数据 收集 器 是 各 种 计数 器 的 集合 。 数 据 收集 器 收集 到 的 数据 信息 将 自动 记录 到 日 
志 中 ,管理 员 既 可 以 在 Windows 性 能 监视 器 中 查看 ,也 可 以 选择 通过 其 他 非 Microsoft 应 用 
程序 查看 。 

1.， 启动 数据 收集 器 

在 Windows Server 2008 操作 系统 中 ,管理 员 可 以 通过 命令 行 模式 和 服务 器 管理 器 启 
动 数据 收集 器 。 其 启动 的 两 种 方法 同 启动 可 靠 性 监视 器 ,具体 操作 方法 参见 前 面相 关内 容 ， 
这 里 就 不 再 袭 述 。 在 “可 靠 性 和 性 能 监视 器 "窗口 中 ,依次 展开 “可 靠 性 和 性 能 ”>“ 数 据 收集 
器 集 " 目 录 , 即 可 打开 “数据 收集 器 集 " 窗 口 ,如 图 3-50 所 示 。 
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图 3-50 “数据 收集 器 集 "窗口 


2. 系统 诊断 

Windows Server 2008 的 数据 收集 器 集中 ,集成 “系统 诊断 "功能 ,管理 员 启 动 该 功能 
后 , 即 可 对 计算 机 的 健康 状态 进行 诊断 ,诊断 的 结果 以 报表 方式 显示 。 系 统 诊断 详细 记录 本 
地 硬件 资源 的 状态 .系统 响应 时 间 和 本 地 计算 机 上 的 进程 ,还 包含 系统 信息 和 配置 数据 等 
信息 。 

1) 启动 系统 诊断 

(1) 打开 “数据 收集 器 集 ” 窗 口 ,依次 选择 “系统 ”>“System Diagnostics( 系 统 诊断 )" 选 
项 ,如 图 3-51 所 示 。 在 右 侧 列表 中 ,显示 集成 的 计数 器 ,性 能 参数 .配置 信息 等 。 

(2) 右 击 “System Diagnostics( 系 统 诊断 )" 选 项 ,在 快捷 菜单 中 选择 “开始 "命令 ,开始 
诊断 系统 的 健康 状态 。 右 击 “System Diagnostics( 系 统 诊断 ) ”选项 ,在 快捷 菜单 中 选择 最 
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图 3-51 System Diagnostics( 系 统 诊断 ) 


新 的 报告 "命令 ,显示 图 3-52 所 示 的 “系统 诊断 "窗口 ,显示 当前 的 “报告 状态 ”为 “收集 
数据 ”。 
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图 3-52 “系统 诊断 ”窗口 


2) 系统 诊断 报告 

系统 诊断 数据 采集 完成 后 ,自动 停止 采集 任务 ,此 时 将 为 管理 员 提 供 详细 的 系统 健康 
报告 。 
(1) 采集 任务 完成 后 , 右 击 “System Diagnostics( 系 统 诊断 ) "选项 ,在 快捷 菜单 中 选择 
“最 新 的 报告 ”命令 ,打开 * 系 统 诊断 报告 窗口 。 单 击 * 诊 断 结果 " 任 务 条 ,显示 计算 机 的 健康 
状态 ,如 图 3-53 所 示 。 

QO 在 “错误 ”选项 区 域 中 ,显示 计算 机 中 检测 到 的 错误 信息 ,例如 服务 异常 ,没有 安装 驱 
动 程序 等 。 详 细 的 显示 错误 的 症状 、 原 因 、 详 细 信 息 ,分辨 率 以 及 相关 站 点 (提供 当前 症状 的 
解决 方案 ) 。 
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图 3-53 诊断 结果 


@ 在 “信息 ”选项 区 域 中 ,显示 计算 机 中 检测 到 的 警告 性 信息 ,如 图 3-54 所 示 。 详 细 显 
示 错 误 的 症状 、 原 因 、 分 辨 率 以 及 相关 站 点 (提供 当前 症状 的 解决 方案 ) 。 

@ 在 “基本 系统 检查 ”选项 区 域 中 ,显示 计算 机 系统 检查 信息 ,包括 OS 检查 \ 硬 盘 检 
查 、 安 全 中 心 测试 ,系统 服务 检查 以 及 硬件 设备 和 驱动 程序 检查 ,如 图 3-55 所 示 。 检 查 通过 
显示 的 结果 为 全 .检查 失败 显示 的 结果 为 @@ 。 单 击 “ 磁 盘 检 查 ” 左 侧 的 十 图 标 ,显示 所 有 磁 
盘 的 检查 状态 。 

@ 在 “性 能 ”选项 区 域 中 ,显示 计算 机 的 性 能 ,包括 CPU 网络、 磁盘 以 及 内 存 的 利用 率 
和 详细 信息 ,如 图 3-56 所 示 。 
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(2) 使 用 相同 的 方法 ,可 以 查看 诊断 的 其 他 任务 结果 ,包括 软件 配置 ,硬件 配置 .CPU、 
网 络 .磁盘 以 及 内 存 等 信息 ,如 图 3-57 所 示 。 

3. 系统 性 能 监控 

Windows Server 2008 的 数据 收集 器 集中 ,集成 “系统 性 能 ”功能 ,管理 员 启 动 该 功能 
后 , 即 可 对 计算 机 进行 监控 ,监控 的 结果 以 报表 方式 显示 。“ 报 告 ”功能 是 Windows Server 
2008 系统 可 靠 性 和 性 能 监视 器 的 新 增 功能 之 一 ,主要 用 于 直观 反映 数据 收集 器 集 的 工作 状 
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3-57 全 部 诊断 信息 


态 和 结果 。 默 认 情 况 下 ,所 有 数据 收集 器 集 都 可 以 在 “报告 ”项目 中 ,找到 与 之 对 应 的 数据 收 
集 器 集 报告 。 使 用 “报告 ”功能 时 ,应 注意 如 下 几 个 方面 。 

(1) 如 果 数 据 收集 器 集 未 运行 ,将 没有 可 用 的 报告 。 

(2) 如 果 数 据 收集 器 集 正 在 运行 , 则 控制 台 窗 口中 将 显示 有 关 数 据 收集 器 集 被 配置 为 
运行 多 长 时 间 的 信息 ,无 法 查看 历史 记录 。 

(3) 数据 收集 停止 之 后 ,生成 报告 时 会 有 一 段 延 迟 。 这 段 时 间 期 间 ,控制 台 窗口 将 显示 
工作 图 标 。 

(4) 较 大 的 日 志文 件 将 使 生成 报告 的 时 间 较 长 。 如 果 频 繁 检查 日 志 以 查看 最 新 数据 ， 
建议 使 用 限制 以 自动 分 段 日 志 。 可 以 使 用 relog 命令 对 长 日 志文 件 进行 分 段 或 合并 多 个 短 
日 志文 件 。 

系统 性 能 数据 采集 完成 后 ,会 自动 停止 采集 任务 ,并 为 管理 员 提 供 详细 的 系统 性 能 
报告 。 
(1) 采集 任务 完成 后 , 右 击 “System Performance( 系 统 性 能 )? 选 项 ,在 快捷 菜单 中 选择 
“最 新 的 报告 ”命令 ,打开 “系统 性 能 报告 "窗口 。 

(2) 单 击 “ 摘 要 ”任务 条 ,显示 “进程 “磁盘 ”"“ 内 存 ” 的 利用 率 , 如 图 3-58 所 示 。 

(3) 单 击 “ 诊 断 结果 "任务 条 ,显示 计算 机 的 系统 性 能 ,如 图 3-59 所 示 。 根 据 提供 的 参 
数 即 可 了 解 当前 计算 机 的 性 能 。 

(4) 单 击 *CPU”“ 网 络 ”“ 磁 盘 ”"“ 内 存 " 任 务 条 ,将 详细 显示 在 监控 中 监控 的 详细 信 
息 。 管 理 员 可 以 根据 需要 查看 关心 的 数据 和 内 容 。 

4. 自 定义 性 能 数据 器 集 

Windows Server 2008 提供 自 定义 数据 收集 器 功能 ,管理 员 可 以 使 用 模板 (系统 诊断 、 
系统 性 能 ) 派 生 新 的 收集 器 ,也 可 以 创建 全 新 的 收集 器 ,本 例 以 创建 全 新 的 性 能 数据 收集 器 
为 例 说 明 如 何 创 建新 的 监控 指标 。 

(1) 创建 性 能 数据 器 集 

@ 打开 “数据 收集 器 集 ” 窗 口 . 右 击 “ 用 户 定义 ”选项 ,在 快捷 菜单 中 选择 "新建" 命令 ,在 
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图 3-59 诊断 结果 


级 联 菜 单 中 选择 “数据 收集 器 集 命 令 。 启 动 “ 创 建新 的 数据 收集 器 集 向 导 , 显 示 图 3-60 所 
示 的 “您 希望 以 何 种 方式 创建 这 一 新 的 数据 收集 器 集 ” 对 话 框 。 定 义 新 收集 器 集 的 名 称 , 并 
选择 数据 收集 器 集 的 创建 类 型 。 本 例 中 选中 “手动 创建 (高 级 )" 单 选 按钮 。 

@ 单 击 * 下 一 步 "按钮 ,显示 图 3-61 所 示 的 “您 希望 包括 何 种 类 型 的 数据 "对话 框 。 选 
中 “创建 数据 日 志 ” 单 选 按钮 ,并 选中 “性 能 计数 器 " 复 选 框 。 

@ 单 击 “下 一 步 ? 按 钮 ,显示 "您 希望 记录 哪个 性 能 计数 器 "对话 框 。 单 击 “ 添 加 ” 按 
钮 ,在 “可 用 计数 器 "列表 中 ,选择 并 展开 Paging File 选项 ,选择 %Usage 计数 器 , 单 击 “ 添 
加 ”按钮 ,将 选择 的 计数 器 添加 到 “添加 的 计数 器 "列表 中 。 单 击 “ 确 定 ” 按 钮 ,关闭 计数 器 
选择 对 话 框 ,返回 到 “您 希望 记录 哪个 性 能 计数 器 "对话 框 ,成 功 添加 计数 器 ,如 图 3-62 所 
示 。 根 据 需 要 在 “示例 间隔 ”和 “单位 ”文本 框 中 ,输入 计数 器 的 采样 间隔 时 间 和 时 间 
单位 。 


3-61 “您 希望 包括 何 种 类 型 的 数据 ?对话 框 


图 3-62 ”添加 计数 器 


@ 单 击 “ 下 一 步 " 按 钮 ,显示 图 3-63 所 示 的 “您 希望 将 数据 保存 在 什么 位 置 " 对 话 框 。 
设置 采集 的 数据 文件 存储 目标 文件 夹 ,这 里 保持 默认 设置 。 


图 3-63 “您 希望 将 数据 保存 在 什么 位 置 " 对 话 框 


@ 单 击 “ 下 一 步 "按钮 ,显示 图 3-64 所 示 的 “是 否 创建 数据 收集 器 集 ” 对 话 框 。 本 例 中 
选中 “保存 并 关闭 " 单 选 按钮 ,创建 新 的 收集 器 集 但 不 立即 运行 该 数据 收集 器 集 。 
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€ 


图 3-64 “是 否 创建 数据 收集 器 集 "对话 杠 


@ 单 击 “ 完 成 "按钮 ,成 功 创建 新 的 数据 收集 器 集 ,如 图 3-65 所 示 。 

(2) 数据 采集 

用 户 自 定义 数据 收集 器 创建 完成 后 ,默认 并 没有 启动 该 收集 器 。 如 果 要 采集 数据 ,需要 
手动 启动 该 数据 收集 器 。 

@ 右 击 需 要 启动 的 数据 收集 器 ,在 快捷 菜单 中 选择 “开始 "命令, 即 可 开始 收集 选择 的 
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3-65 ”成 功 创建 性 能 数据 器 集 


计数 器 日 志 。 右 击 目标 数据 收集 器 ,在 快捷 菜单 中 选择 “最 新 的 报告 "命令 ,显示 图 3-66 所 
示 的 窗口 ,当前 系统 的 状态 是 “正在 收集 数据 ”。 


国文 件 四 ”操作 心 查看 WW 收藏 闪 Q) 亩 口 W)， 大助 0 
Rwmo 日 中 而 


System Perfornane 


图 3-66 开始 收集 数据 


四 如 果 需 要 停止 数据 收集 , 右 击 需 要 启动 的 数据 收集 器 ,在 快捷 菜单 中 选择 “停止 " 命 
令 , 即 可 停止 数据 收集 。 采 集 停止 后 , 右 击 目标 数据 收集 器 ,在 快捷 菜单 中 选择 “最 新 的 报 
告 "命令 ,显示 图 3-67 所 示 的 窗口 .显示 在 监控 的 时 间 区 域 .虚拟 内 存 文件 占用 的 百分比 ,本 
例 中 使 用 了 50% 左 右 的 虚拟 内 存 , 说 明 当前 虚拟 内 存 的 大 小 已 经 远 远 不 能 够 满足 系统 的 需 
要 ,需要 管理 员 根 据 采 集 的 数据 样本 ,合理 地 安排 计算 机 资源 。 


中 
e。 图 
第 3 章 ”Windows 系统 性 能 管理 。 103 


全 可 千 性 和 性 芒 监 视 夫 


图 文 伯 四。 报 人 内 查看 中。 收藏 夫 0 宦 口 吕 帮助 中 | =18lX 
和 哆 | 为 局 | 其 四 上 | 四 可 | 画面 忆 
EEGERES 
田 国 监 开具 


EDENE TI EE 


图 3-67 数据 采集 结果 


习题 


1. 简 述 Windows Server 2008 Server Core 的 优 缺 点 。 
2. 在 “可 靠 性 和 性 能 监视 器 "中 ,常用 的 计数 器 有 哪些 ? 


实验 : 安装 并 配置 Windows Server 2008 Server Core 


实验 目的 : 

掌握 安装 Windows Server 2008 Server Core 的 操作 ,以 及 掌握 Server Core 的 基本 
配置 。 

实验 内 容 : 

首先 安装 Windows Server 2008 Server Core 操作 系统 ,并 在 安装 完成 后 对 Server Core 
进行 基本 配置 。 

实验 步骤 : 

(1) 使 用 Windows Server 2008 Server Core 安装 光盘 安装 操作 系统 。 

(2) 设置 管理 员 密 码 。 

(3) 设置 服务 器 名 称 。 

(4) 设置 IP 地 址 。 

(5) 设置 时 区 。 

(6) 激活 服务 器 。 

(7) 启用 自动 更 新 。 

(8) 启用 远程 桌面 。 

(9) 添加 角色 和 功能 。 


Windows 系 统 安 全 管理 


众所周知 ,服务 器 的 作用 就 是 为 网 络 提供 服务 ,与 客户 端 计算 机 相 比 ,服务 器 端 所 保存 
的 数据 更 容易 成 为 病毒 ,木马 和 黑客 的 目标 。 如 果 服 务 器 不 幸 中 招 , 因 此 而 带 来 的 影响 将 是 
不 可 估计 的 ,尤其 是 处 于 广域网 中 的 服务 器 ,其 被 攻击 的 可 能 性 更 大 。Windows 系统 本 身 
就 已 经 集成 了 大 量 的 安全 工具 和 策略 ,可 以 在 很 大 程度 上 增加 系统 的 安全 性 。 


4.1 Windows 系统 安全 管理 规划 


Windows Server 2008 提供 了 一 系列 新 的 和 改进 的 安全 技术 ,这 些 技术 增强 了 对 操作 
系统 的 保护 ,为 企业 的 运营 和 发 展 葛 定 了 坚实 的 基础 。Windows Server 2008 提供 了 减 小 
内 核 攻击 面 的 安全 创新 思路 (例如 PatchGuard) ,因而 使 服务 器 环境 更 安全 、 更 稳定 。 通 过 
保护 关键 服务 器 服务 使 之 免 受 文 件 系统 、 注 册 表 或 网 络 中 异常 活动 的 影响 , Windows 服务 
强化 有 助 于 提高 系统 的 安全 性 。 


4.1.1 项 目 背景 


在 当前 项 目 网 络 中 , 除 其 中 部 分 服务 器 使 用 Windows Server 2003 操作 系统 外 ,其 余 服 
务 器 均 使 用 Windows Server 2008 操作 系统 。 为 了 使 服务 器 可 以 正常 地 为 网 络 提供 服务 ， 
必须 保证 服务 器 的 安全 。 


4.1.2 项 目 需求 


在 网 络 环境 中 ,服务 器 的 安全 主要 是 提高 自身 的 安全 性 ,从 而 保证 其 自身 的 安全 。 合 理 
地 配置 服务 器 的 安全 级 别 、 配 置 强大 的 安全 策略 等 都 是 提高 服务 器 安全 性 的 可 行 方 法 。 另 
外 ,对 于 日 常 的 服务 器 操作 还 应 该 进行 相应 的 记录 ,如 果 只 是 单纯 地 使 用 手动 记录 的 方式 ， 
显然 是 不 实际 的 。 因 此 ,需要 在 服务 器 上 使 用 一 种 记录 机 制 ,记录 服务 器 的 所 有 系统 情况 。 


4.1.3 解决 方案 


通常 情况 下 ,对 于 Windows 系统 安全 管理 ,可 从 如 下 几 方 面 进行 操作 。 

(1) 安全 配置 向 导 (SCW) 是 一 个 工具 ,可 确定 服务 器 的 一 个 或 多 个 角色 所 需 的 最 少 功 
能 ,并 且 禁 用 不 需要 的 功能 。 安 全 配置 向 导 既 可 以 独立 运行 ,也 可 以 从 服务 器 管理 器 中 运 
行 。 用 户 可 以 在 安全 配置 向 导 的 指导 下 ,根据 服务 器 选 定 角 色 ,完成 创建 .编辑 .应 用 或 回 滚 
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安全 策略 等 操作 。 使 用 SCW 创建 的 安全 策略 是 XML 文件 ,服务 、 网 络 安全 特定 的 注册 表 
值 .审核 策略 以 及 (如 果 适 用 )Internet 信息 服务 (IIS) 将 被 配置 到 该 文件 内 并 被 应 

(2) 设置 本 地 安全 策略 。 顾 名 思 义 ， 本 地 安全 策略 是 仅 用 于 本 地 计算 机 的 安全 策略 。 
Windows Server 2008 系统 的 安全 机 制 更 为 强大 ,但 默认 情况 下 并 未 配置 ,因此 起 不 到 任何 
保护 作用 ,必须 根据 需要 启用 并 配置 这 些 安全 策略 ,以 确保 系统 安全 。 

(3) 系统 日 志 可 以 记录 下 系统 所 产生 的 所 有 行为 ,并 按照 某 种 规范 表达 出 来 。 使 用 日 
志 系 统 所 记录 的 信息 为 系统 进行 排 错 , 优 化 系统 的 性 能 ,或 者 根据 这 些 信息 调整 系统 的 行 
为 。 在 安全 领域 ,日 志 系 统 的 地 位 更 加 重要 。 


4.2 Windows 安全 管理 工具 


凭借 超 强 的 功能 以 及 更 胜 一 筹 的 安全 优势 ,Windows Server 2008 系统 吸引 了 许多 网 
络 管理 员 在 不 知 不 觉 中 前 来 试用 。 可 是 ,这 并 不 能 说 明 Windows Server 2008 系统 在 安全 
方面 就 可 以 高 枕 无 忧 了 ,因为 在 不 同 的 使 用 环境 下 ,Windows Server 2008 系统 表现 出 来 的 
安全 防范 能 力 是 不 一 样 的 ,甚至 该 系统 在 某 些 方面 没有 一 点 安全 抵抗 能 力 ,这 就 需要 手动 保 
护 Windows Server 2008 系统 的 运行 安全 了 。 


4.2.1 安全 配置 向 导 


安全 配置 向 导 可 以 帮助 管理 员 快 速 完成 创建 ,编辑 、 应 用 和 回 深 安 全 策略 操作 。 在 
Windows Server 2008 系统 中 ,已 经 默认 集成 安全 配置 向 导 ,用 户 无 须 安装 即 可 直接 应 用 。 

(D) 依次 选择 "开始 "-“ 管 理工 具 ” ~“ 安全 配置 向 导 " 命 令 , 打 开 * 欢 迎 使 用 安全 配置 向 
导 ” 对 话 框 。 也 可 以 在 “开始 "菜单 的 “开始 搜索 "文本 框 中 输入 scw. exe 命令 , 单 击 * 确 定 " 按 
钮 来 启动 安全 配置 向 导 。 

(2) 单 击 "下 一 步 "按钮 ,显示 图 4-1 所 示 的 “配置 操作 ”对 话 框 ,这 里 选中 “新 建安 全 策 
略 ” 单 选 按钮 。 


划 | 
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图 4-1 “配置 操作 "对话 框 
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安全 配置 向 导 提 供 了 以 下 4 种 配置 操作 。 

中 新 建安 全 策略 。 可 以 创建 用 于 配置 服务 、Windows 防火 墙 、 Internet 协议 安全 
(IPsec) 设 置 、 审 核 策略 和 特定 注册 表 设 置 的 安全 策略 。 安 全 策略 文件 是 XML 格式 文件 , 默 
认 保 存 路 径 为 %systemroot%\security\msscw\Policies。 

@ 编辑 现 有 安全 策略 。 可 以 编辑 已 使 用 SCW 创建 的 安全 策略 。 必 须 先 选中 “编辑 现 
有 安全 策略 " 单 选 按钮 ,才能 浏览 到 要 编辑 的 安全 策略 文件 所 在 的 文件 夹 。 编 辑 的 策略 可 存 
储 在 本 地 上 或 网 络 共享 文件 夹 中 。 

@ 应 用 现 有 安全 策略 。 使 用 SCW 创建 安全 策略 后 ,可 将 其 应 用 到 测试 服务 器 中 ,或 者 
应 用 到 生产 环境 中 。 

提示 : 在 将 新 创建 或 新 修改 的 安全 策略 应 用 到 生产 环境 之 前 ,首先 进行 测试 ,然后 将 安 
全 策略 部 署 到 业务 系统 中 ,测试 可 使 新 策略 在 生产 环境 中 导致 意外 结果 的 可 能 性 降 至 最 低 。 

@ 回 滚 上 一 次 应 用 的 安全 策略 。 如 果 使 用 SCW 应 用 的 安全 策略 使 服务 器 功能 达 不 到 
预期 的 效果 ,或 者 导致 其 他 非 预期 结果 , 则 可 以 回 滚 该 安全 策略 ,将 自动 从 该 服务 器 删除 对 
应 的 安全 策略 。 

注意 ; 如 果 策 略 是 在 “本 地 安全 策略 "中 编辑 的 ,在 应 用 策略 后 ,这 些 更 改 就 不 能 回 滚 到 
应 用 前 的 状态 。 对 于 服务 和 注册 表 值 , 回 滚 过 程 还 原 了 在 配置 过 程 中 更 改 的 设置 。 对 于 
Windows 防火 墙 和 IPSec, 回 滚 过 程 取消 当前 使 用 的 任何 SCW 策略 的 分 配 , 并 重新 分 配 在 
上 一 次 应 用 的 策略 。 

(3) 单 击 “ 下 一 步 " 按 钮 ,显示 图 4-2 所 示 。 mE ; E 
的 “选择 服务 器 ”对 话 框 。 在 “服务 器 "文本 框 ea 访 
中 ,输入 需要 进行 安全 配置 的 Windows Ld 
Server 2008 服务 器 的 主机 名 或 IP 地 址 。 也 必用 9 名 笠 、jnno5 各 村 可 TY 地 过) Fr 
可 以 单 击 “ 浏 览 ” 按 钮 ,选择 需要 进行 安全 配 本 
管 的 目标 计算 机 。 人 

(4) 单 击 “下 一 步 ? 按 钮 ,开始 扫描 配置 
数据 库 , 主要 包括 已 安装 或 运行 的 网 络 服 
务 IJP 地 址 及 子 网 信息 等 。 扫 描 完 成 后 显示 
图 4-3 所 示 的 “正在 处 理 安全 配置 数据 库 ” 对 
话 框 。 单 击 “ 查 看 配置 数据 库 ” 按 钮 ,打开 
“SCW 查看 器 ”窗口 ,在 这 里 可 以 查看 详细 
扫描 结果 。 需 要 注意 的 是 ,在 此 过 程 中 由 于 Internet Explorer 7. 0 的 安全 设置 ,可 能 会 出 现 
安全 提示 信息 , 单 击 “ 是 ”按钮 跳 过 即 可 。 

(5) 单 击 “ 下 一 步 ” 按 钮 ,显示 “基于 角色 的 服务 配置 ”对话 框 。 安 全 配置 向 导 可 以 根据 
当前 服务 器 提供 网 络 服 务 的 不 同 , 配 置 相应 的 安全 策略 。 

(6) 单 击 “ 下 一 步 ” 按 钮 ,显示 图 4-4 所 示 的 “选择 服务 器 角色 ”对 话 框 。 系 统 默 认 选 择 
“安装 的 角色 ?选项 , 即 只 设置 已 安装 服务 的 安全 策略 。 

在 “查看 ”下拉 列表 框 中 包括 如 下 4 种 可 供 选 择 的 角色 模式 。 

@ 所 有 角色 : 列 出 所 有 的 Windows Server 2008 可 以 使 用 的 角色 。 

@ 安装 的 角色 : 列 出 当前 服务 器 中 已 经 安装 的 角色 ,包括 没有 设置 的 角色 。 


图 4-2 “选择 服务 器 "对 话 框 


@ 未 安装 


@ 选 定 
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图 4-4 “选择 服务 器 角色 ”对话 框 


装 的 角色 : 列 出 当前 服务 器 中 没有 安装 的 角色 ,不 包括 没有 设置 的 角色 。 
的 角色 : 列 出 当前 服务 器 中 已 经 选 定 的 角色 。 


注意 : 为 了 保证 服务 器 的 安全 , 仅 选择 所 需要 的 服务 器 角色 即 可 。 选 择 多 余 的 服务 器 


角色 ,会 增加 


Windows Server 2008 系统 的 安全 隐患 。 


(7) 单 击 “ 下 一 步 "按钮 ,显示 图 4-5 所 示 的 “选择 客户 端 功能 "对 话 框 ,可 以 选择 当前 服 


务 器 作为 其 人 


也 服务 器 的 客户 端 时 需要 使 用 的 功能 ,如 自动 更 新 客户 端 等 。 在 “查看 ”下拉 列 


表 框 中 的 选项 与 “选择 服务 器 角色 "中 的 基本 相同 ,此 处 不 再 缆 述 。 


(8) 单 击 “下 一 步 ?按钮 ,显示 图 4-6 所 示 的 “选择 管理 和 其 他 选项 ”对 话 框 。 在 “选择 用 
来 管理 选 定 的 服务 器 的 选项 ”列表 中 ,可 以 选中 相应 的 管理 对 应 的 复 选 框 。 
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图 4-5 “选择 客户 端 功能 "对 话 框 图 4-6 “选择 管理 和 其 他 选项 "对话 框 


(9) 单 击 “ 下 一 步 "按钮 ,显示 图 4-7 所 示 的 “选择 其 他 服务 "对话 框 。 其 他 服务 是 指 当 
前 服务 器 上 已 经 安装 但 在 安全 配置 数据 库 中 未 显示 的 服务 。 如 果 出 现 这 种 情况 ,安全 配置 
向 导 将 在 “选择 其 他 服务 ”对 话 框 中 显示 已 安装 的 服务 列表 。 展 开 相应 的 服务 即 可 查看 其 详 
细 运 行 模式 。 

(10) 单 击 “ 下 一 步 " 按 钮 ,显示 图 4-8 所 示 的 "处理 未 指定 的 服务 ”对话 框 。 未 指定 的 服 
务 是 指 安全 策略 配置 向 导 扫 描 过 程 中 未 能 发 现 的 服务 ,用 户 可 以 在 这 里 设置 其 运行 状态 , 选 
中 “不 更 改 此 服务 的 启动 模式 ” 单 选 按 钮 即 可 。 
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图 4-7 “选择 其 他 服务 "对 话 框 图 4-8 “处 理 未 指定 的 服务 "对 话 框 
两 种 处 理 方式 的 主要 区 别 如 下 。 


名 不 更 改 此 服务 的 启动 模式 。 如 果 选 中 此 单 选 按钮 , 则 在 应 用 此 安全 策略 的 服务 器 上 
启用 的 未 指定 服务 将 保持 启用 状态 ,而 禁用 的 那些 服务 将 保持 禁用 状态 。 

@ 禁用 此 服务 。 如 果 选 中 此 单 选 按钮 , 则 不 在 安全 配置 数据 库 中 的 或 未 安装 在 选 定 服 
务 器 上 的 所 有 服务 都 将 被 禁用 。 

(11) 单 击 “ 下 一 步 " 按 钮 ,显示 图 4-9 所 示 的 “确认 服务 更 改 ” 对 话 框 ,系统 默认 只 显示 
当前 服务 器 上 正在 运行 的 服务 ,服务 的 启动 模式 可 以 是 “已 禁用 ”“ 手 动 ” 或 “自动 "。 在 应 用 


安全 策略 后 ,才能 对 选 定 服务 器 做 出 更 改 。 

(12) 单 击 “下 一 步 "按钮 ,显示 “网 络 安全 ” 
对 话 框 。 如 果 选 中 “ 跳 过 这 一 部 分 " 复 选 框 , 则 
将 跳 过 “网 络 安 全 "配置 部 分 。 建 议 不 要 跳 过 
此 步骤 ,继续 按照 如 下 步骤 操作 。 

(13) 单 击 “下 一 步 "按钮 ,显示 图 4-10 所 
示 的 “网 络 安全 规则 ”对 话 框 。 系 统 默 认 在 “ 查 
看 ”下拉 列 表 框 中 显示 “所 有 规则 "选项 , 即 该 
服务 器 上 目前 开放 的 所 有 端口 。 也 可 以 在 “ 查 
看 ”下 拉 列 表 框 中 选择 其 他 查看 方式 。 单 击 安 
全 规则 前 面 的 三 角形 按钮 ,还 可 以 查看 其 详细 
信息 。 
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图 4-9 “确认 服务 更 改 " 对 话 框 
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“网 络 安全 规则 "对话 框 


提示 : 如 果 列 表 中 没有 列 出 需要 使 用 的 Windows 防火 墙 规则 ,可 以 单 击 * 添 加 ”按钮 ， 
打开 图 4-11 所 示 的 “添加 规则 (http)” 对 话 框 ,将 其 添加 到 列表 中 。 在 “名 称 ” 文 本 框 中 , 输 


荣 夫 | 程序 各 务 | 协议 和 入口 | 作用 尖 | 


图 4-11 “添加 规则 (http)” 对 话 框 


入 防火 墙 规则 的 名 称 , 如 www, 为 了 便于 区 
分 还 可 以 输入 相关 的 描述 信息 ; 在 “方向 ” 选 
项 区 域 中 ,选中 “入 站 ” 单 选 按 钮 ; 另外 ,还 可 
以 根据 需要 在 “操作 ”选项 区 域 中 选择 相应 
限制 连接 的 方式 。 

(14) 单 击 “ 下 一 步 " 按 钮 ,显示 “注册 表 
设置 "对话 框 。 通 过 该 设置 可 以 修改 
Windows Server 2008 服务 器 注册 表 中 一 些 
特殊 键 值 ,从 而 严格 限制 用 户 的 访问 权限 。 
建议 用 户 不 要 跳 过 此 步骤 。 
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(15) 单 击 “ 下 一 步 "按钮 ,显示 图 4-12 所 示 的 “要 求 SMB 安全 签名 ”对 话 框 。 设 置 选 定 
的 服务 器 和 客户 端的 通信 信息 ,保持 系统 默认 的 全 部 选择 状态 即 可 。 


广 册 表 设置 
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图 4-12 “要 求 SMS 安全 签名 ”对话 框 


(16) 单 击 “ 下 一 步 ” 按 钮 ,显示 “出 站 身份 验证 方法 "对话 框 。 选 择 当前 服务 器 远程 连接 
到 其 他 计算 机 时 使 用 的 身份 验证 方法 ,如 果 是 在 域 网 络 中 进行 远程 登录 , 则 选中 * 域 账户 " 复 
选 框 即 可 ; 如 果 是 工作 组 环境 ,建议 选中 “远程 计算 机 上 的 本 地 账户 " 复 选 框 。 

(17) 单 击 " 下 一 步 "按钮 ,显示 图 4-13 所 示 的 “出 站 身份 验证 使 用 本 地 账户 ”对 话 框 ,此 
对 话 框 中 的 选项 与 所 选择 的 出 站 身份 验证 方法 有 关 , 这 里 以 使 用 “远程 计算 机 上 的 本 地 账 
户 ” 验 证 方法 为 例 。 通 常情 况 下 ,保持 默认 设置 即 可 。 
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图 413 “出 站 身份 验证 使 用 本 地 账户 ”对 话 框 
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提示 : 如 果 不 选 择 任何 出 站 身份 验证 方法 , 则 单 击 “ 下 一 步 ” 按 钮 将 提示 设置 “入 站 身份 
验证 方法 ”, 如 图 4-14 所 示 。 入 站 身份 验证 方法 主要 用 于 当 网 络 用 户 访问 当前 计算 机 时 需 
要 使 用 哪 种 身份 验证 方法 。 如 果 设 置 了 “出 站 身份 验证 方法 " 则 不 会 出 现 该 对 话 框 。 

(18) 单 击 “ 下 一 步 ”按钮 ,显示 图 4-15 所 示 的 “注册 表 设 置 摘要 ”对 话 框 ,显示 了 当前 安 
全 策略 中 所 做 的 注册 表 安 全 设置 。 


加 | EEEEEB | 
入 站 身份 验证 方法 EF 注册 胡 设置 扩 要 加 
用 于 让 和 站 Loverr 身 人 等， 以 及 于 LA revewr 攻 在 六 前 ， 请 请 认 生 册 这 轩 正确 。 
在 定 的 有 务 尖 上 有 下 地 基站 几 记过 要 从 下列 刁 和 加 应 用 到 法 十 P8 和 叶 ， 此 安全 证 中 将 使用 下 列 主 骨 于 设置 4) 


gp ee pe 
ee ee 和 fr 
ber er 


5 Ue 其 机 0) 
We empaibili tenal 生出 至少 设置 为 3 


E | r=] 
图 4-14 “入 站 身份 验证 方法 "对 话 框 图 4-15 “注册 表 设置 摘要 "对 话 框 


(19) 单 击 “ 下 一 步 ”按钮 ,显示 “审核 策略 "对话 框 。Windows 审核 策略 主要 用 于 审核 日 
志 记 录 中 的 相关 内 容 , 并 确定 受 影 响 的 系统 对 象 。 安 全 策略 回 滚 功 能 是 无 法 回 滨 安 全 向 导 
中 的 审核 策略 设置 的 。 

(20) 单 击 “ 下 一 步 " 按 钮 ,显示 图 4-16 所 示 的 “系统 审核 策略 ”对 话 框 。 选 择 需 要 审 
核 的 目标 ,这 里 选中 “审核 成 功 的 操作 ” 单 选 按钮 , 即 只 审核 日 志 记 录 中 操作 成 功 的 事件 
记录 。 


FE ERI 


安全 便 置 向 导 | 
系统 刘 术 第 E 
于 信 相对 人 该 定 家 信和 上。 Fi 
2 
后 9 闹 术 晤 村 
's a 
i 本 sme- 
5 


了 了 肌 有 关 证 5 广 二 


了 角 有 关 调 检 泛 国 的 于 信 信息 


— | 


图 4-16 “系统 审核 策略 "对话 框 
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(21) 单 击 “ 下 一 步 "按钮 ,显示 图 4-17 所 
示 的 “审核 策略 摘要 "对话 框 。 列 表 中 列 出 了 
应 用 策略 时 ,将 在 选 定 服务 器 上 应 用 对 审核 策 
略 进行 的 所 有 更 改 。 在 该 对 话 框 中 显示 了 每 
个 审核 策略 设置 的 当前 设置 和 由 策略 定义 的 
设置 。 有 

(22) 单 击 “ 下 一 步 "按钮 , 品 示 “ 保 存 安全 。 革 时 于 于 | 
策略 "对 话 框 。 保 存 完成 后 , 即 可 将 该 安全 策 ane see nese Nesen anhal: 


略 应 用 到 当前 或 其 他 服务 器 上 。 2 
(23) 单 击 “下 一 步 "按钮 ,显示 图 4-18 所 a 
示 的 “安全 策略 文件 名 ”对话 框 。 在 保存 安全 ee 
策略 文件 的 路 径 之 后 输入 安全 策略 文件 名 , 根 人 
据 需要 输入 相关 描述 信息 。 
安全 配置 向 导 加 
保存 安全 策略 


bb 


人 


划 
安全 第 忠文 件 各 国 

将 全 用 全 人 的 名 入 六 人 安全 部下 文件 。 
安全 戎 只 文件 名 0 果 没有 提供 文件 扩展 名 ， 配 自动 对 加 术 铅 各 xml ) G) 
| E20 
dai - 

| 

到 


Ess: 也 括 安 人 模板 亿 ) 


了 着 有 关 任 存 安全 这 准 的 更 季 什 息 * 


T= ah | 


图 4-18 “安全 策略 文件 名 "对 话 杠 


提示 : 单 击 * 包 括 安全 模板 ”按钮 ,还 可 以 向 当前 安全 策略 中 添加 其 他 安全 模板 中 的 安 
全 规则 ,这 些 规则 将 拥有 较 高 的 优先 级 。SCW 回 滚 功能 将 无 法 回 滚 已 经 应 用 的 策略 模板 中 
的 规则 设置 。 

(24) 单 击 “ 下 一 步 ”按钮 ,显示 图 4-19 所 示 的 “应 用 安全 策略 ”对 话 框 。 如 果 选 中 “现在 
应 用 ” 单 选 按钮 , 则 可 以 将 安全 策略 立即 应 用 到 当前 服务 器 ; 建议 选中 “ 稍 后 应 用 ” 单 选 按 
钮 ,使 其 在 测试 后 再 应 用 到 服务 器 。 

(25) 单 击 “ 下 一 步 ” 按 钮 ,显示 图 4-20 所 示 的 “正在 完成 安全 配置 向 导 ” 对 话 框 。 单 击 
“完成 ”按钮 , 即 可 完成 安全 策略 的 设置 。 


4.2.2 本 地 安全 策略 
打开 “运行 ”对话 框 ,在 “打开 "文本 框 中 输入 gpedit. msc 命令 , 单 击 “ 确 定 ” 按 钮 , 即 可 打 


应 用 安全 第 罗 
郊 可 以 现在 或 稍 后 符 安全 第 路 应 用 于 定 的 节 务 器 ~ 


MR 


i 


e @ 息 
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时 正在 完成 安全 配置 向 导 


到 他 忆 妈 也 有 地 过 起 了 安全 四 向 - 
司 以 在 下 列 位 天 技 列 息 人 建 py 安全 菜 相 


二 Winamstpaliciesvwanager ml 


人 


首要 关闭 此 向 对, 请 音 击 “完成 "* 


了 和 解 有 关 应 明志 全 证 晤 的 更 多 信息 。 
图 4-19 “应 用 安全 策略 "对 话 框 图 4-20 “正在 完成 安全 配置 向 导 " 对 话 框 


开 “ 本 地 组 策略 编辑 器 "窗口 。 依 次 展开 “本 地 计算 机 策略 ”> 计算 机 配置 ”Windows 设 
置 ”>“ 安 全 设置 "目录 , 即 可 开始 配置 相应 策略 ,如 图 4-21 所 示 。 


| 


文件 @J， 操作 必 下 看 WD 关 助 如 


和 只 力 Tm| | 回回 


Te] 
| 易 芽 克 全 尖 昌 ,在 本 地 计 基 机 Taterset 协议 安 全 性 areve) 管理 。 为 与 


图 4-21 “本 地 组 策略 编辑 器 "窗口 


1. 密码 策略 
在 Windows Server 2008 系统 中 ,默认 已 经 为 所 有 用 户 账户 启用 了 密码 策略 ,其 中 策略 


细节 如 下 。 


@ 密码 必须 符合 复杂 性 要 求 。 

@ 最 短 密码 长 度 最 小 值 。 

@ 密码 最 短 使 用 期 限 。 

@ 密码 最 长 使 用 期 限 。 

@@ 强制 密码 历史 。 

用 可 还 原 的 加 密 来 储存 密码 。 

小 知识 : 密码 策略 是 账户 策略 的 一 部 分 ,账户 策略 主要 用 于 限制 用 户 账户 的 交互 方式 ， 
其 中 包括 密码 策略 和 账户 锁定 策略 ,这 些 设置 同时 适用 于 独立 服务 器 和 域 环境 。 密 码 策略 
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用 于 保护 域 或 本 地 用 户 账户 的 密码 安全 , 设 定 密码 规则 等 ; 账户 锁定 策略 用 于 保护 域 或 本 
地 用 户 账户 的 登录 安全 ,确定 某 个 账户 被 锁定 在 系统 之 外 的 情况 和 时 间 长 短 。 

(1) 在 “安全 设置 "选项 下 依次 展开 “账户 策略 ”一 “密码 策略 ”目录 ,在 右 侧 窗口 中 双击 
“密码 必须 符合 复杂 性 要 求 "策略 ,显示 图 4-22 所 示 的 对 话 框 ,选中 “已 启用 ” 单 选 按 钮 , 即 可 
启用 该 策略 ,最 后 单 击 “ 确 定 ” 按 钮 保存 。 此 安全 设置 确定 用 户 账户 密码 是 否 必须 符合 复杂 
性 要 求 , 如 果 启 用 此 策略 ,密码 必须 符合 下 列 最 低 要 求 。 

@ 不 能 包含 用 户 的 账户 名 ,不 能 包含 用 户 姓名 中 超过 两 个 连续 字符 的 部 分 。 

@ 至 少 有 6 个 字符 长 。 

@ 至 少 包含 以 下 4 类 字符 中 的 3 类 字符 。 

。 英文 大 写字 母 (A 一 Z) 。 

。 英文 小 写字 母 (a 一 z) 。 

。 10 个 基本 数字 (0 一 9) 。 

。 非 字母 字符 (例如 ,!、$ 、# 、%)。 

@ 在 更 改 或 创建 密码 时 执行 复杂 性 要 求 。 

(2) 双击 “密码 长 度 最 小 值 " 策 略 , 显 示 图 4-23 所 示 的 对 话 框 ,在 “密码 必须 至 少 是 ” 文 
本 框 中 设置 密码 的 最 小 长 度 , 例 如 10。 最 后 单 击 “ 确 定 ” 按 钮 保存 。 此 安全 设置 确定 用 户 账 
户 密码 包含 的 最 少 字符 数 ,可 选 值 范围 为 1 一 14, 如 果 直 接 设 置 为 0, 则 表示 允许 不 设置 密 
码 。 在 Windows Server 2008 系统 中 ,独立 服务 器 的 默认 值 为 0, 而 域 控制 器 默认 值 为 7。 
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图 4-22 “密码 必须 符合 复杂 性 要 求 属性 ”对 话 框 图 4-23 “密码 长 度 最 小 值 属性 ”对 话 框 


(3) 双击 “密码 最 短 使 用 期 限 ”" 策 略 , 显 示 图 4-24 所 示 的 对 话 框 , Windows Server 2008 
系统 的 独立 服务 器 默认 值 为 0, 域 控制 器 默认 值 为 1 天。 在 “在 以 下 天 数 后 可 以 更 改 密码 ” 
文本 框 中 ,输入 相应 天 数 ( 如 2 天 ) . 单 击 “确定 ”按钮 保存 即 可 。 

(4) 双击 “密码 最 长 使 用 期 限 ? 策 略 ,显示 图 4-25 所 示 的 对 话 框 ,系统 默认 “密码 过 期 时 
间 ” 为 42 天 ,可 选 值 范围 为 1 一 999 天 ,如 果 直 接 设 置 为 0, 则 表示 密码 永 不 过 期 。Windows 
Server 2008 系统 的 默认 值 为 42 天 。 

注意 : 安全 最 佳 操 作 是 将 密码 设置 为 30 一 90 天 后 过 期 ,具体 取决 于 系统 环境 及 需求 。 
这 样 , 攻 击 者 用 来 破解 用 户 密码 以 及 访问 网 络 资源 的 时 间 将 受到 限制 。 


图 4-24 “密码 最 短 使 用 期 限 属性 "对话 框 图 4-25 “密码 最 长 使 用 期 限 属性 ?对 话 框 


(5) 双击 “强制 密码 历史 ”策略 ,显示 图 4-26 所 示 的 对 话 框 ,该 策略 用 于 限制 用 户 更 改 
账户 密码 之 前 不 得 使 用 的 旧 密 码 个 数 , 有 效 范围 为 0 一 24, 例 如 ,可 以 设置 为 12, 则 用 户 不 能 
重复 使 用 在 此 之 前 用 过 的 12 个 历史 密码 。 在 Windows Server 2008 系统 中 ,独立 服务 器 上 
默认 值 为 0, 域 控制 器 上 默认 值 为 24。 

(6) 双击 “用 可 还 原 的 加 密 来 储存 密码 "策略 ,显示 图 4-27 所 示 的 对 话 框 ,该 安全 设置 
确定 操作 系统 是 否 使 用 可 还 原 的 加 密 来 储存 密码 。 选 中 “已 启用 " 单 选 按钮 ,表示 允许 使 用 
可 还 原 的 加 密 储 存 密码 。 单 击 “ 确 定 ” 按 钮 保存 设置 。 使 用 此 安全 设置 ,确定 操作 系统 是 否 
使 用 可 还 原 的 加 密 来 储存 密码 ,此 策略 还 可 以 为 某 些 应 用 程序 提供 支持 。 使 用 可 还 原 的 加 
密 储存 密码 与 储存 纯 文本 密码 ,在 本 质 上 是 相同 的 。 因 此 ,除非 应 用 程序 需求 比 保护 密码 信 
息 更 重要 ,否则 绝 不 要 启用 此 策略 。 


党 制 [ 


图 4-26 “强制 密码 历史 属性 "对话 框 图 4-27 “用 可 还 原 的 加 密 来 储存 密码 属性 "对话 框 


推荐 的 密码 策略 如 下 。 

(1)“ 密 码 必须 符合 复杂 性 要 求 ” 一 一 已 启用 ,必须 启用 。 

(2)“ 密 码 长 度 最 小 值 ” 一 一 8 个 字符 或 者 更 高 。 

提示 : 密码 复杂 性 是 指 密码 中 必须 包含 字母 数字、 特殊 符号 等 内 容 。 对 安全 性 要 求 比 
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较 高 的 地 方 ,推荐 使 用 超过 12 位 以 上 的 密码 长 度 。 密 码 应 该 经 常 性 更 换 , 特 别 在 有 管理 员 
以 外 的 人 知道 时 。 系 统管 理 员 Administrator 密码 建议 仅 有 管理 员 知 道 , 且 是 足够 强壮 的 密 
码 , 并 且 修 改 默 认 的 用 户 名 。 

2. 账户 锁定 策略 

锁定 账户 可 以 有 效 防 止 人 侵 者 无 休止 地 尝试 登录 ,账户 锁定 策略 主要 用 于 确定 某 个 用 
户 账 户 被 锁定 条 件 和 时 间 长 短 , 具 体 策 略 如 下 。 

QO@ 复位 账户 锁定 计数 器 。 

@ 账户 锁定 时 间 。 

@ 账户 锁定 阔 值 。 

提示 : 默认 情况 下 ,Windows Server 2008 系统 的 独立 服务 器 ,并 未 配置 “复位 账户 锁定 
计数 器 ”策略 和 "账户 锁定 时 间 ” 策 略 , 所 以 管理 员 账 户 无 法 对 普通 账户 实施 锁定 。 

(1) 在 Windows Server 2008 域 控制 器 上 ,双击 “复位 账户 锁定 计数 器 ”策略 ,显示 图 4-28 
所 示 的 对 话 框 ,选中 “定义 这 个 策略 设置 " 复 选 框 ,并 在 “在 此 后 复位 账户 锁定 计数 器 "文本 框 
中 输入 适当 的 时 间 值 ,默认 为 30 分 钟 , 即 账 户 被 锁定 30 分 钟 后 , 才 人 允许 再 次 尝试 登录 。 如 
果 定 义 了 账户 锁定 阔 值 ,此 重 置 时 间 必 须 小 于 或 等 于 账户 锁定 时 间 。 

(2) 在 Windows Server 2008 域 控 制 器 上 ,双击 “账户 锁定 时 间 ” 策 略 , 显 示 图 4-29 所 示 
的 对 话 框 ,选中 “定义 这 个 策略 设置 " 复 选 框 ,并 在 “账户 锁定 时 间 " 文 本 框 中 输入 适当 的 时 间 
值 ,默认 锁定 时 间 为 30 分 钟 。 需 要 注意 的 是 ,只 有 在 指定 了 账户 锁定 阔 值 时 ,此 策略 设置 才 


有 意义 。 
[EECETRETEICTI 了 | 
安全 基本 设置 | 说明 | 安全 请 四 设置 | 说 明 | 
一 测 
定 光 这 个 荣昌 设 置 D) 定义 这 个 帮 同 设置 D) 
站 户 馈 定时 间 : 
P32MZE PF 3 
CED _m |_enw Cw |_enw | 
图 4-28 “复位 账户 锁定 计数 器 属性 ”对 话 框 图 4-29 “账户 锁定 时 间 属性 ”对话 框 


(3) 在 Windows Server 2008 域 控制 器 或 独立 服务 器 上 ,双击 “账户 锁定 阔 值 "策略 , 显 
示 图 4-30 所 示 的 对 话 框 即 启用 该 策略 。Windows Server 2008 独立 服务 器 的 默认 值 为 0, 即 
永 不 锁定 账户 , 域 控制 器 默认 是 未 配置 的 。 当 使 用 Ctrl 十 Alt 十 Del 键 或 密码 保护 的 屏幕 保 
护 程 序 锁定 计算 机 时 ,也 将 记录 尝试 失败 。 

推荐 的 账户 锁定 策略 如 下 。 

(1) “账户 锁 定 阔 值 "一 一 3 次 (或 者 略 高 ) 无 效 登 录 。 

(2)“ 账 户 锁定 时 间 ” 一 一 30 分 钟 (默认 ,可 根据 实际 需要 更 改 ) 。 
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(3)“ 复 位 账户 锁定 计数 器 ”一 一 30 分 钟 (默认 ,可 根据 实际 需要 更 改 ) 之 后 。 

3. Kerberos 策略 (Windows 域 安全 ) 

Kerberos 策略 是 适用 于 域 用 户 账户 的 安全 策略 ,独立 服务 器 系统 无 此 策略 ,主要 用 于 
确定 与 Kerberos 相关 的 设置 ,例如 票证 的 有 效 期 限 和 强制 执行 。Kerberos 策略 不 存在 于 
本 地 计算 机 策略 中 。Kerberos 策略 中 包含 如 下 设置 。 

@ 服务 票证 最 长 寿命 。 

@ 计算 机 时 钟 同步 的 最 大 容 差 。 

@ 强制 用 户 登 录 限制 。 

@ 用 户 票 证 续 订 最 长 寿命 。 

@ 用 户 票证 最 长 寿命 。 

(1) 双击 “服务 票证 最 长 寿命 "策略 ,显示 图 4-31 所 示 的 “服务 票证 最 长 寿命 属性 ”对 话 
框 ,选中 “定义 这 个 策略 设置 " 复 选 框 ,并 在 “票证 过 期 时 间 " 文 本 框 中 设置 适当 值 即 可 ,默认 
为 600 分 钟 。 该 策略 用 来 设置 确定 使 用 所 授予 的 会 话 票证 可 访问 特定 服务 的 最 长 时 间 ( 以 
分 钟 为 单位 )。 该 设置 必须 大 于 10 分 钟 ,并 且 小 于 或 等 于 用 户 票证 最 长 寿命 设置 。 


Ci mw | enw | 
图 4-30 “账户 锁定 阔 值 属性 ”对话 框 图 4-31 “服务 票证 最 长 寿命 属性 ”对 话 框 


如 果 客 户 端 请 求 服务 器 连接 时 出 示 的 会 话 票证 已 过 期 ,服务 器 将 返回 错误 消息 。 客 户 
端 必须 从 Kerberos V5 密 钥 分 发 中 心 (KDC) 请 求 新 的 会 话 票证 ,然而 一 旦 连接 通过 了 身份 
验证 ,该 会 话 票证 是 否 仍 然 有 效 就 无 关 紧 要 了 。 会 话 票 证 仅 用 于 验证 和 服务 器 的 新 建 连接 。 
如 果 用 于 验证 连接 的 会 话 票证 在 连接 时 过 期 , 则 当前 的 操作 不 会 中 断 。 

(2) 双击 “计算 机 时 钟 同步 的 最 大 容 差 "策略 ,显示 图 4-32 所 示 的 “计算 机 时 钟 同步 的 
最 大 容 差 属性 "对话 框 ,选中 * 定 义 这 个 策略 设置 复 选 框 ,并 在 “最 大 容 差 "文本 框 中 设置 适 
当 值 即 可 ,默认 为 5 分 钟 。 该 策略 用 来 设置 确定 Kerberos V5 所 允许 的 客户 端 时 钟 和 提供 
Kerberos 身份 验证 的 Windows Server 2008 域 控制 器 上 的 时 间 的 最 大 差 值 。 

提示 : 该 设置 并 不 是 永久 性 的 。 如 果 配 置 该 设置 后 重新 启动 计算 机 ,那么 该 设置 将 被 
还 原 为 默认 值 。 

(3) 双击 “强制 用 户 登 录 限 制 " 策 略 ,显示 图 4-33 所 示 的 “强制 用 户 登录 限制 属性 ”对 话 
框 ,选中 “定义 这 个 策略 设置 " 复 选 框 ,并 选中 “已 启用 ” 单 选 按钮 , 即 可 启用 该 策略 。 该 策略 
用 来 设置 确定 Kerberos V5 密 钥 分 发 中 心 是 否 要 根据 用 户 账户 的 用 户 权限 ,验证 每 一 个 会 
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话 票证 请 求 。 验 证 每 一 个 会 话 票 证 请 求 是 可 选 的 ,因为 额外 的 步骤 需要 花费 时 间 ,并 可 能 降 
低 服务 的 网 络 访问 速度 。 


图 4-32 “计算 机 时 钟 同步 的 最 大 容 差 属性 "对 话 框 图 4-33 “强制 用 户 登录 限制 属性 ”对话 框 


(4) 双击 “用 户 票 证 续 订 最 长 寿命 "策略 ,显示 图 4-34 所 示 的 “用 户 票证 续 订 最 长 寿命 
属性 "对话 框 ,选中 “定义 这 个 策略 设置 " 复 选 框 ,并 在 “票证 续 订 过 期 时 间 ” 文 本 框 中 设置 适 
当 值 即 可 ,默认 为 10 天 。 

(5) 双击 “用 户 票 证 最 长 寿命 "策略 ,显示 图 4-35 所 示 的 “用 户 票 证 最 长 寿命 属性 "对话 
框 ,选中 “定义 这 个 策略 设置 " 复 选 框 ,并 在 “票证 过 期 时 间 ” 文 本 框 中 设置 适当 值 即 可 ,默认 
为 7 个 小 时 。 该 策略 用 来 设置 确定 用 户 票证 授予 票证 (TGT) 的 最 长 使 用 时 间 , 用 户 TGT 
期 满 后 ,必须 请 求 新 的 或 “ 续 订 " 现 有 的 用 户 票证 。 
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图 4-34 “用 户 票证 续 订 最 长 寿命 属性 ”对 话 框 图 4-35 “用户 票 证 最 长 寿命 属性 "对话 框 


4. 审核 策略 更 改 

审核 是 Windows Server 2008 本 地 安全 策略 中 的 一 部 分 ,是 维护 系统 安全 性 的 工具 。 
通过 设置 审核 策略 ,管理 员 可 以 确定 是 否 将 安全 事件 记录 到 计算 机 上 的 安全 日 志 , 同 时 也 确 
定 是 否 记 录 登 录 成 功 或 登录 失败 ,或 两 者 都 记录 。 

(1) 在 “本 地 组 策略 编辑 器 "窗口 中 ,依次 展开 “计算 机 配置 ”>“Windows 设置 ">“ 安 全 
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设置 >“ 本 地 策略 >“ 审核 策略 "目录 ,在 右 侧 显示 审核 策略 中 所 包含 的 策略 ,如 图 4-36 所 
示 。 执 行 审核 策略 前 ,必须 决定 要 审核 的 事件 类 别 。 为 事件 类 别 选择 的 审核 设置 将 定义 审 
核 策 略 。 

(2) 双击 “审核 策略 更 改 " 策 略 , 显 示 图 4-37 所 示 的 “审核 策略 更 改 属性 ?对 话 框 。 默 认 
情况 下 ,该 策略 的 值 为 “无 审核 ,根据 不 同 的 要 求 选中 “成 功 ” 或 “失败 " 复 选 框 即 可 ,可 同时 


ETTIEITEEEEE 2 


[工种 JolIES io 


EE TS I 
1 和 天 人 
设置 市 桩 本 录 事 件 无 币 核 
王国 Wmdmws 设置 审核 对 银 访 问 无 市 术 

[3 条 

= 一 安全 和 证 村上 好 和 访问 天 以 
EE 而 和 守信 用 天 人 
3 a Ee ZE 
0 市 机 朵 户 登 录 事 件 无 宙 和 
er 币值 天 下 生机 帐户 划一 E23 


图 4-36 审核 策略 图 4-37 “审核 策略 更 改 属性 "对 话 框 


(3) 设置 完成 后 , 单 击 “确定 ”按钮 ,保存 设置 。 

注意 : 策略 设置 完成 后 ,并 不 会 立即 生效 ,需要 在 系统 更 新 组 策略 后 才能 生效 ,或 运行 
gpupdate /force 命令 ,手动 刷新 组 策略 。 

5. 审核 登录 事件 

设置 审核 登录 事件 , 当 在 域 控制 器 上 对 域 用户 账 户 进行 身份 验证 时 ,将 产生 账户 登录 事 
件 ,该 事件 记录 在 域 控 制 器 的 安全 日 志 中 。 当 在 本 地 计算 机 上 对 本 地 用 户 进行 身份 验证 时 ， 
将 产生 登录 事件 ,该 事件 记录 在 本 地 安全 日 志 中 ,不 产生 账户 注销 事件 。 具 体 策略 的 设置 方 
法 同 审核 策略 更 改 方法 相同 。 

6. 审核 文件 的 访问 行为 

审核 文件 的 访问 行为 ,可 以 审核 某 个 或 某 些 用 户 是 否 访 加 
问 了 某 个 文件 或 文件 夹 。 只 有 当 用 户 通过 审核 时 , 才 可 以 访 
问 该 文件 或 文件 夹 , 否 则 将 不 能 访问 该 文件 或 文件 夹 。 通 过 
设置 该 审核 策略 ,可 以 保证 某 些 文件 不 被 某 些 用 户 访问 。 具 
体 策略 的 设置 方法 同 审核 策略 更 改 方法 相同 ,这 里 设置 审核 
值 为 “成 功 ”。 

策略 设置 完成 后 ,需要 测试 该 策略 是 否 能 够 起 到 审核 作用 ， 
这 里 以 设置 文件 夹 的 审核 为 例 进行 介绍 ,具体 操作 步骤 如 下 。 

(1) 打开 Windows 资源 管理 器 , 右 击 想 要 审核 的 文件 或 
文件 夹 ,在 快捷 菜单 中 选择 “属性 ”命令 ,显示 图 4-38 所 示 的 对 
话 框 ,并 选择 “安全 ”选项 卡 。 图 4-38 文件 夹 属性 对 话 框 


oftrare 必 性 | 
车 失 | 共享 。 安全 | 以 前 的 版 本 | 自 定义 | 
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(2) 单 击 “ 高 级 ”按钮 ,显示 图 4-39 所 示 的 “software 的 高 级 安全 设置 ”对话 框 ,选择 “ 审 
核 ” 选 项 卡 , 默 认 没 有 任何 审核 项 目 。 单 击 “编辑 ”按钮 ,编辑 审核 项 目 。 
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图 4-39 “software 的 高 级 安全 设置 "对 话 框 


(3) 单 击 “ 添 加 ”按钮 ,打开 “选择 用 户 或 组 ”对 话 框 。 单 击 “ 高 级 ”按钮 ,显示 图 4-40 所 
示 的 对 话 框 , 单 击 “ 立 即 查 找 ” 按 钮 即 可 开始 查找 用 户 ,在 "搜索 结果 ”列表 中 ,选择 用 户 czc。 

小 知识 : 如 果 用 户 知 道 想 要 审核 的 用 户 名 详细 名 称 ,在 "输入 要 选择 的 对 象 名称 ” 文 本 
框 中 直接 输入 该 用 户 名 称 即 可 。 

(4) 单 击 “ 确 定 ” 按 钮 ,显示 图 4-41 所 示 的 “software 的 审核 项 目 ” 对 话 框 。 在 “访问 ” 列 
表 中 ,选择 审核 的 操作 ,这 里 选中 “创建 文件 夹 /附加 数据 "和 “删除 ” 复 选 框 。 
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图 4-40 “选择 用 户 或 组 ”对 话 框 图 4-41 “software 的 审核 项 目 ” 对 话 框 


(5) 连续 单 击 “ 确 定 ” 按 钮 , 即 可 完成 设置 。 
(6) 注销 当前 登录 的 管理 员 账 户 , 并 以 czc 用 户 登 录 系 统 。 在 审核 文件 夹 内 创建 名 为 
book 的 文件 夹 , 如 图 4-42 所 示 。 


eo@ 
第 4 齐 ”WingoWs 系 统 安全 管理 。 21 


(7) 注销 czc 用 户 , 重 新 以 管理 员 账户 登录 系统 ,以 使 查看 审核 日 志 。 在 “事件 查看 器 ” 
窗口 中 ,选择 “安全 ”日 志 事 件 ,如 图 4-43 所 示 。 


GO 
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ET 
细 遇 > 护 和 ” 门 打开 马 # 覃 


图 4-42 新 建文 件 夹 图 4-43 事件 查看 器 


(8) 在 右 侧 窗口 中 ,双击 所 审核 的 事件 日 志 , 显 示 图 4-44 所 示 的 “事件 属性 ”对 话 框 。 
从 事件 属性 中 可 以 看 到 ,czc 用 户 创建 文件 夹 的 操作 已 经 被 记录 下 来 。 

7. 审核 打印 机 的 访问 行为 

审核 打印 机 的 访问 行为 ,可 以 审核 用 户 是 否 访问 了 某 台 打印 机 ,例如 该 用 户 是 否 使 用 了 
该 打印 机 打印 文档 等 。 审 核 打 印 机 的 访问 行为 ,同样 可 以 使 用 “事件 查看 器 ”的 安全 日 志 
件 来 查看 这 些 事件 日 志 。 

启用 “审核 对 象 访问 ”策略 ,其 操作 步骤 与 审核 文件 的 访问 行为 "相同 ,这 里 就 不 再 歼 
述 。 在 “访问 "列表 中 ,根据 需要 选择 审核 内 容 , 这 里 选中 “打印 " 复 选 框 。 需 要 注意 的 是 ,在 
选中 “打印 ” 复 选 框 的 同时 ,系统 会 自动 选中 “ 读 取 权 限 " 复 选 框 ,如 图 4-45 所 示 。 
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8. 用 户 权限 分 配 


在 大 中 型 网 络 中 ,如 果 所 有 网 络 管理 工具 都 由 一 名 管理 员 来 完成 ,其 难度 是 非常 大 的 。 
因此 ,通常 情况 下 ,在 网 络 管理 中 会 拥有 一 名 权限 最 高 的 管理 员 ,然后 将 部 分 安全 功能 设置 
权限 分 配给 特定 的 用 户 账户 ,这 样 既 可 以 减少 系统 或 网 络 管理 员 的 工作 负担 ,又 可 以 做 到 重 
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要 权限 的 分 散 ,避免 了 个 别 用 户 权限 过 高 而 给 系统 或 网 络 带 来 的 威胁 。 

在 “本 地 组 策略 编辑 器 ”窗口 中 ,依次 展开 * 计 算 机 配置 ”Windows 设置 ”安全 设 
置 ">“ 本 地 策略 ”>“ 用 户 权 限 分 配 ” 目 录 , 即 可 查看 Windows Server 2008 系统 中 的 用 户 权 
限 分 配 策略 ,如 图 4-46 所 示 。 
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图 4-46 用 户 权限 分 配 策略 


在 Windows Server 2008 系统 中 ,管理 员 可 以 为 用 户 账户 指派 更 为 详细 的 安全 管理 权 
限 ,可 分 配 权限 及 功能 描述 如 表 4-1 所 示 。 


表 4-1 用 户 权限 分 配 策略 及 功能 


策略 功能 说 明 默认 用 户 账户 和 组 
确定 哪些 用 户 可 以 线 过 文件 和 目录 .注册 表 和 其 他 永久 | Administrators Backup 
备份 文件 和 目录 | 对 象 权限 进行 系统 备份 和 
此 用 户 权限 允许 某 个 进程 模拟 任意 用 户 而 无 须 进行 身份 
充当 操作 系统 的 | 验证 。 因 此 该 进程 可 以 与 该 用 户 一 样 获得 对 本 地 资源 的 
一 部 分 
访问 权限 
创建 符号 链接 ”| 此 权限 决定 用 户 是 否 可 以 从 登录 的 计算 机 创建 符号 链接 | Administrators 
此 用 户 权限 对 于 在 终端 服务 会 话 过 程 中 创建 全 局 对 象 的 | LOCAL SERVICE、 
创建 全 局 对 象 用 户 账 户 是 必需 的 。 未 分 配 此 用 户 权限 的 用 户 仍 可 以 创 | NETWORK SERVICE、 
建 特定 于 会 话 的 对 象 Administrators .SERVICE 
此 安全 设置 确定 进程 可 以 使 用 哪些 账户 创建 今 牌 .该 令 
牌 接着 可 以 在 进程 使 用 内 部 应 用 程序 编程 接口 (APT, 
创建 一 个 令 牌 “| Application Programming Interface) 创建 访问 令 牌 时 用 
对 象 于 获取 任何 本 地 资源 的 访问 权限 。 此 用 户 权限 供 操作 系 | 没有 任何 用 户 账户 
统 内 部 使 用 。 除 非 必要 ,建议 不 要 将 此 用 户 权限 分 配给 
本 地 系统 之 外 的 用 户 、 组 或 进 各 
创建 一个 页 面 。 | 此 用 户 权限 确定 哪些 用 户 和 组 下 以 调用 内 部 应 用 程序 纺 
程 接口 (APD 创建 页 面 文件 。 此 用 户 权限 供 操作 系统 内 | Administrators 


部 使 用 , 且 通 常 不 需要 分 配给 任何 用 户 
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续 表 
策 略 功能 说 明 默认 用 户 账 户 和 组 
创建 永久 共享 此 用 户 权限 确定 进程 可 以 使 用 哪些 账户 ,利用 对 象 管理 
对 象 人 器 创建 目录 对 象 。 此 用 户 权 限 供 操作 系统 内 部 使 用 , 且 | 没有 任何 用 户 账户 
对 于 扩展 对 象 命名 空间 的 内 核 模 式 组 件 非常 有 用 
从 扩展 坞 上 取 下 | 此 安全 设置 确定 用 户 是 否 可 以 无 须 登 录 而 从 其 扩展 坞 上 ee 
计算 机 移 除 便携 式 计 算 机 
从 网 络 访问 此 计 | 此 用 户 权限 确定 允许 哪些 用 户 和 组 通过 网 络 连接 到 计算 | Everyone、Administrators、 
机 。 此 用 户 权 限 不 影响 终端 服务 Users ,Backup Operators 
此 安全 设置 确定 允许 哪些 用 户 从 网 络 上 的 远程 位 置 关闭 
从 远程 系统 强制 | 计算 机 。 误 用 此 用 户 权限 会 导致 拒绝 服务 。 此 用 户 权 限 i 
关机 是 在 默认 域 控制 器 组 策略 对 象 以 及 工作 站 和 服务 器 的 本 | 0" 
地 安全 策略 中 进行 定义 的 
此 用 户 权限 确定 哪些 用 户 和 组 可 以 更 改 计 算 机 默认 时 和 Nw 
更 改 时 区 区 。 这 是 Windows Server 2008 的 新 增 用 户 权限 分 配 策 | KO、 
略 之 一 ministrators 
此 用 户 权限 确定 哪些 用 户 和 组 可 以 更 改 计算 机 内 部 时 钟 
更改 系统 时 间 | 上 的 日 期 和 时 间 。 分 配 了 此 用 户 权限 的 用 户 可 以 影响 事 | LOCAL SERVICE、 
人 件 日 志 的 外 观 。 如 果 已 更 改 了 系统 时 间 , 则 记录 的 事件 | Administrators 
将 反映 此 新 时 间 ,而 不 是 事件 发 生 的 实际 时 间 
此 安全 设置 确定 哪些 在 本 地 登录 到 计算 机 的 用 户 可 以 使 | Adninistrators_Backu 
关闭 系统 用 关机 命令 关闭 操作 系统 。 误 用 此 用 户 权限 会 导致 拒绝 | Onerato 人 
服务 perators 
管理 审核 和 安全 | 此 安全 设置 确定 哪些 用 户 可 以 为 单独 的 资源 (如 文件 、 dtd 
日 志 Active Directory 对 象 和 注册 表 项 ) 指 定 对 象 访问 审核 选项 
此 安全 设置 确定 在 还 原 备份 的 文件 和 目录 时 哪些 用 户 可 
还 原文 件 和 目录 以 绕 过 文件 .目录 ,注册 表 和 其 他 永久 对 象 权限 ,以 及 确 | Administrators、Backup 
” ” | 定 哪些 用 户 可 以 将 任何 有 效 的 安全 主体 设置 为 对 象 的 所 | Operators 
有 者 
此 用 户 权限 确定 哪些 用 户 可 以 将 设备 驱动 程序 或 其 他 代 
加 载 和 印 载 设备 | 码 动态 加 载 和 印 载 到 内 核 模式 中 。 此 用 户 权限 不 适用 于 | Administrators 
驱动 程序 即 插 即 用 设备 驱动 程序 。 建 议 不 要 将 此 权限 分 配给 其 他 | 
用 户 
此 安全 设置 确定 哪些 组 或 用 户 可 以 将 工作 站 添加 到 域 。 
将 工作 站 添加 | 此 安全 设置 仅 对 域 控制 器 有 效 。 默 认 情况 下 ,任何 已 经 | 没有 任何 用 户 账户 
到 域 过 身份 验证 的 用 户 都 具有 此 权限 并 可 以 在 该 域 中 最 多 创 
建 10 个 计算 机 账户 
此 安全 设置 确定 哪些 账户 可 以 使 用 进程 将 数据 保持 在 物 
理 内 存 中 ,这 样 可 防止 系统 将 数据 分 页 到 磁盘 上 的 虚拟 内 
将 页 锁定 在 内 存 | 存 中 。 使 用 此 权限 会 因 降 低 可 用 随机 存 取 内 存 (RAM) ”| 没有 任何 用 户 账 户 
的 数量 ,而 显著 影响 系统 性 能 
此 安全 设置 确定 要 防止 哪些 用 户 在 该 计算 机 上 登录 。 如 
拒绝 本 地 登录 果 账 户 受 制 于 此 策略 设置 和 * 人 允许 本 地 登录 "策略 设置 ， | 没有 任何 用 户 账 户 
则 前 者 会 取代 后 者 
拒绝 从 网 络 访问 此 安全 设置 确定 要 防止 哪些 用 户 通过 网 络 访问 计算 机 。 
这 台 计算 机 如 果 用 户 账户 受 限 于 此 策略 设置 和 “从 网 络 访问 此 计算 | 没有 任何 用 户 账户 


机 "策略 设置 , 则 前 者 会 取代 后 者 
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续 表 
策 略 功能 说 明 默认 用 户 账户 和 组 
拒绝 作为 服务 | 此 安全 设置 确定 要 防止 哪些 服务 账户 将 进程 注册 为 服 
i 务 。 如 果 账 户 受 制 于 此 策略 设置 和 “作为 服务 登录 ”策略 | 没有 任何 用 户 账户 
设置 , 则 前 者 会 取代 后 者 
拒绝 作为 批 处 理 | 此 安全 设置 确定 要 防止 哪些 账户 作为 批 处 理 作业 登录 。 
作业 登录 “| 如 果 用 户 账户 受 限于 此 策略 设置 和 “作为 批 处 理 作业 登 | 没有 任何 用 户 账户 
a 录 "策略 设置 , 则 前 者 会 取代 后 者 
配置 文件 单个 “| 此 安全 设置 确定 哪些 用 户 可 以 使 用 性 能 监视 工具 来 监视 | gistrators 
进程 非 系统 进程 的 性 能 E : 
配置 文件 系统 | 此 安全 设置 确定 哪些 用 户 可 以 使 用 性 能 监视 工具 来 监视 | ginistrators 
性 能 系统 进程 的 性 能 
此 安全 设置 确定 哪些 用 户 可 以 取得 系统 中 任何 安全 对 象 
时 得 就任 避 委 他 | (包括 Aetive Direetory 对 象 .文件 和 文件 夹 .打印 机 , 注 | Administrators 
册 表 项 、 进 程 以 及 线程 ) 的 所 有 权 
此 用 户 权限 确定 哪些 用 户 即使 在 不 具有 对 已 遍历 目录 的 | Everyone、LOCAL 
权限 时 ,也 可 以 遍历 目录 树 。 此 权限 不 允许 用 户 列 出 目 | SERVICE、NETWORK 
绕 过 遍历 检查 。” | 录 的 内 容 , 仅 允许 遍历 目录 。 此 用 户 权限 是 在 默认 域 控 | SERVICE、 
制 器 组 策略 对 象 以 及 工作 站 和 服务 器 的 本 地 安全 策略 中 | Administrators、Users、 
进行 定义 的 Backup Operators 
将 此 权限 分 配给 用 户 使 代表 该 用 户 运行 的 程序 能 够 模拟 
身份 验证 后 模拟 客户 端 。 此 种 模拟 要 求 此 用 户 权限 可 防止 未 经 授权 的 用 | LOCAL SERVICE、 
客户 并 的 户 说 服 客户 端 连接 (例如 ,通过 远程 过 程 调 用 (RPC) 或 命 | NETWORK SERVICE、 
名 管道 ) 到 他 们 已 创建 的 服务 ,然后 模拟 该 客户 端 ,这 样 ”| Administrators SERVICE 
会 将 未 经 授权 的 用 户 的 权限 提升 至 管理 级 别 或 系统 级 别 
此 安全 设置 确定 进程 可 以 使 用 哪些 账户 将 项 目 添加 到 安 
全 日 志 中 。 安 全 日 志 用 于 跟踪 未 授权 的 系统 访问 。 如 果 
生成 安全 审核 “| 启用 了 “审核 : 如 果 无 法 记录 安全 审核 , 则 立即 关闭 系 | NCR VR WiCE 
统 " 安 全 策略 设置 , 则 误 用 此 用 户 权限 会 导致 生成 许多 审 
核 事 件 ,可 能 隐藏 攻击 证 据 或 导致 拒绝 服务 
此 安全 设置 确定 哪些 账户 可 以 使 用 对 另 一 个 进程 具有 
i Write Property 访问 权限 的 进程 来 提高 分 配给 其 他 进程 i 
提高 计划 优先 级 | 的 执行 优先 级 。 具 有 此 权限 的 用 户 可 以 通过 任务 管理 器 | Administators 
用 户 界面 更 改进 程 的 计划 优先 级 
替换 一 个 进程 级 此 安全 设置 唤 定 大 此 用 户 生 户 可 以 油 用 应 用 程序 编程 闪 LOCAL SERVICE、 
令 租 口 , 从 而 使 一 个 服务 能 够 启动 另 一 个 服务 。 任 务 计划 程 NETWORK SERVICE 
序 是 使 用 此 用 户 权限 的 进程 的 一 个 示例 
此 用 户 权限 确定 哪些 用 户 可 以 将 调试 程序 连接 到 任何 进 
程 或 连接 到 内 核 。 不 需要 将 此 用 户 权限 分 配给 正在 调试 
调试 程序 自己 的 应 用 程序 的 开发 人 员 。 调 试 新 系统 组 件 的 开发 人 | Administrators 
员 将 需要 此 用 户 权限 来 执行 相应 操作 。 此 用 户 权限 提供 
对 人 敏感 和 关键 系统 组 件 的 完全 访问 权限 
人 Cn 没有 任何 用 户 账户 
通过 终端 服务 允 | 此 安全 设置 确定 哪些 用 户 或 组 具有 作为 终端 服务 客户 端 | Administrators .Remote 
许 登录 登录 的 权限 Desktop Users 
同步 目录 服务 ”| 此 安全 设置 确定 哪些 用 户 和 组 有 权 同步 所 有 目录 服务 数 
数据 据 , 也 称 为 Active Directory 同步 没有 任何 用 户 账 户 


第 4 齐 ”Windows 系 统 安全 管理 。 1 臣 


续 表 
策 了 略 功能 说 明 默认 用 户 账户 和 组 
为 进程 调整 内 存 | 此 权限 确定 哪些 用 户 可 以 更 改进 得 可 消耗 的 最 大 内 存 。 | LOCAL SERVICE、 
Ne 此 用 户 权限 是 在 默认 域 控制 器 组 策略 对 象 以 及 工作 站 和 | NETWORK SERVICE、 
服务 器 的 本 地 安全 策略 中 进行 定义 的 Admiiistrators 
信任 计算 机 和 用 
、， 二 | 此 安全 设置 确定 哪些 用 户 可 以 在 用 户 或 计算 机 对 象 上 ， 
ER 直到 2 为 下 这 后 证 届时 没有 任何 用 户 账户 
此 安全 设置 确定 哪些 用 户 可 以 修改 固件 环境 值 。 固 件 环 
修改 固件 环境 值 | 境 变量 是 在 非 基 于 x86 的 计算 机 的 稳定 RAM 中 存储 的 | Administrators 
设置 。 该 设置 的 效果 依赖 于 处 理 器 
此 权限 决定 哪些 用 户 账户 可 以 修改 对 象 (例如 文件 .注册 
修改 一 个 对 象 ”| 表 项 或 其 他 用 户 所 拥有 的 进程 ) 的 完整 性 标签 。 在 用 户 
标签 账户 下 运行 的 进程 可 以 将 该 用 户 所 拥有 的 对 象 标签 修改 | 没有 任何 用 户 账 户 
为 没有 此 权限 的 更 低级 别 
此 登录 权限 确定 哪些 用 户 能 以 交互 方式 登录 到 此 计算 
机 。 通 过 在 连接 的 键盘 上 按 Ctrl 十 Alt 十 Delete 键 启 动 
允许 在 本 地 登录 的 登录 要 求 用 户 具 有 此 登录 权限 。 此 外 ,可 以 登录 用 户 | Administrators、Users、 
的 某 些 服务 或 管理 应 用 程序 可 能 要 求 此 登录 权限 。 如 果 | Backup Operators 
为 某 个 用 户 或 组 定义 此 策略 , 则 还 必须 向 Administrators 
组 授予 此 权限 
此 安全 设置 确定 允许 那些 用 户 增加 运行 进程 时 所 需 访问 
增加 进程 工作 集 | 的 责 面 数量 ets 
此 安全 设置 确定 哪些 用 户 和 组 可 以 在 卷 上 运行 维护 任 
务 , 如 远程 碎片 整理 。 需 要 注意 的 是 ,具有 此 用 户 权限 的 
执行 卷 维 护 任务 | 账户 可 以 浏览 磁盘 及 将 文件 扩展 到 包含 其 他 数据 的 内 存 | Administrators 
中 。 当 打开 扩展 的 文件 时 ,用 户 可 能 能 够 读 取 和 修改 获 
得 的 数据 
作为 服务 登录 “| 此 安全 设置 确定 哪些 服务 账户 可 以 将 进程 注册 为 服务 ”| 没有 任何 用 户 账户 
作为 批 处 理 作业 | 此 安全 设置 使 用 户 能 够 通过 批 处 理 队列 实用 程序 登录 ， ea 
登录 并 仅 提供 用 于 与 旧版 本 的 Windows 的 兼容 性 和 人 
作为 受信 任 的 呼 | 此 安全 设置 用 于 确定 哪些 远程 访问 账户 可 以 访问 本 地 服 
叫 方 访问 凭据 管 | 务 器 或 网 络 上 的 凭据 管理 器 ,存在 很 大 的 风险 ,建议 不 要 | 没有 任何 用 户 账户 
理 器 轻易 使 用 


这 里 以 "备份 文件 和 目录 ?为 例 , 介 绍 如何 配 置 用 户 权 限 分 配 策略 。 主 要 操作 步骤 


如 下 。 


(1) 双击 “备份 文件 和 目录 "策略 ,打开 “备份 文件 和 目录 属性 ?对话 框 ,列表 中 显示 的 
是 策略 默认 的 用 户 账户 和 组 。 

(2) 单 击 “ 添 加 用 户 或 组 ”按钮 ,显示 图 4-47 所 示 的 “选择 用 户 或 组 ”对 话 框 。 在 “输入 
对 象 名 称 来 选择 "文本 框 中 输入 想 要 添加 的 用 户 账户 或 组 。 

(3) 单 击 “ 确 定 ” 按 钮 , 即 可 将 其 添加 至 策略 允许 的 对 象 列表 中 ,如 图 4-48 所 示 。 

(4) 单 击 “ 确 定 ” 按 钮 .保存 设置 即 可 。 使 用 相同 的 方法 即 可 定义 其 他 用 户 权 限 分 配 策 
略 , 此 处 不 再 歼 述 。 
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图 4-47 “选择 用 户 或 组 ”对话 框 图 4-48 ”成功 为 权限 添加 用 户 账户 
4.3 系统 日 志 


Windows 日 志 类 别 包括 以 下 在 早期 版 本 的 Windows 中 可 用 的 日 志 : 应 用 程序 .安全 和 
系统 日 志 , 还 包括 两 个 新 的 日 志 : 安装 程序 日 志和 ForwardedEvents 日 志 。Windows 日 志 
用 于 存储 来 自 旧版 应 用 程序 的 事件 以 及 适用 于 整个 系统 的 事件 。 


4.3.1 事件 查看 器 


事件 查看 器 也 是 系统 日 志 的 一 种 形式 。 虽 然 “ 事 件 查看 器 ”主要 是 一 个 管理 员 用 来 管理 
事件 日 志 的 工具 ,但 用 户 也 可 以 查看 自己 计算 机 上 的 应 用 程序 和 系统 日 志 。 

1. 查看 事件 的 详细 信息 

选中 “事件 查看 器 ”左边 的 树 型 结构 图 中 的 日 志 类 型 (应 用 程序 安全 或 系统 ) ,在 右 侧 的 
详细 资料 窗 格 中 将 会 显示 出 系统 中 该 类 的 全 部 日 志 , 双 击 其 中 一 个 日 志 , 便 可 查看 其 详细 信 
息 。 在 日 志 属性 窗口 中 可 以 看 到 事件 发 生 的 日 期 .事件 的 发 生源 .种 类 和 ID, 以 及 事件 的 详 
细 描 述 。 这 对 寻找 解决 错误 是 最 重要 的 。 

(1) 查看 事件 信息 

g@ 依次 选择 “开始 ”一 “管理 工具 ”>“ 事 件 查 看 器 "命令 ,打开 “事件 查看 器 ”窗口 ,并 展 
开 左 侧 栏 “Windows 日 志 ” 目 录 . 即 可 详细 查看 系统 日 志 , 如 图 4-49 所 示 。 

@ 在 左 侧 “ 事 件 查 看 器 "目录 中 . 单 击 想 要 查看 的 事件 类 型 ,在 右 侧 主 窗口 中 显示 该 类 
型 的 所 有 事件 日 志 及 其 日 期 。 根 据 事 件 日 志 的 发 生日 期 和 具体 时 间 , 选 择 并 双击 想 要 查看 
的 日 志 记 录 , 即 可 显示 图 4-50 所 示 的 “事件 属性 ”对 话 框 。 

@ 选择 “详细 信息 ”选项 卡 ,如 图 4-51 所 示 , 系统 默认 是 以 “友好 视图 ”方式 显示 的 。 

@@ 选中 “XML 视图 ” 单 选 按钮 , 即 可 以 “XML 视图 ?方式 显示 事件 详细 信息 , 如 
图 4-52 所 示 。 

回 单 击 “ 关 闭 ” 按 钮 ,关闭 “事件 属性 ”对 话 框 即 可 。 


图 4-50 “事件 属性 ?对 话 杠 


图 4-51 “友好 视图 "方式 显示 
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| 
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Provider Name =Microsoft-Windows-Security-Auditing” 
Guid="{54849625-5478-4994-a5ba- 


- <Event 
xmins="http:/ /schemas.microsoft.com/win/2004/08/events/ev 
3e3b0328c30d}" /> 


[el 


<EventID>4776</EventID> 
<Version>0</Version> 


<Level>0</Level> 
<Task>14336</Task> 

<Dpcode>0</Opcode> 

Keywords >0x8020000000000000</Keywords> 
<TimeCreated SystemTime="2009-08- 


25Tn3:44:50.4727" /> 加 
天 | » 


图 4-52 “XML 视图 ”方式 显示 


(2) 查看 远程 计算 机 事件 日 志 

默认 状态 下 ,在 “事件 查看 器 ”控制 台 窗 口中 显示 的 都 是 本 地 计算 机 系统 的 事件 日 志 , 根 
据 需 要 还 可 以 查看 其 他 计算 机 的 事件 日 志 。 

在 “事件 查看 器 "控制 台中 , 右 击 “事件 查看 a 
器 (本 地 ) "并 选择 快捷 菜单 中 的 “连接 到 另 一 台 
计算 机 ”命令 ,显示 图 4-53 所 示 的 “选择 计算 
机 ”对 话 框 ,选中 “ 另 一 台 计算 机 ” 单 选 按钮 ,并 
在 其 文本 框 中 输入 目标 计算 机 的 主机 名 或 IP 
地 址 。 图 4-53 “选择 计算 机 "对 话 框 

单 击 “确定 ?按钮 ,如 果 网 络 连 接 正常 , 即 可 
在 控制 台 窗口 中 显示 远程 计算 机 的 “事件 查看 器 ”内容 。 查 看 远程 主机 事件 详细 信息 的 方 
法 ,与 查看 本 地 计算 机 事件 完全 相同 。 需 要 注意 的 是 ,如 果 要 想 查 看 远程 主机 的 “安全 "事件 
信息 ,必须 以 管理 员 或 Administrators 组 成 员 的 身份 登录 。 

提示 : 若 不 清楚 目标 主机 的 计算 机 名 和 IP 地 址 ,还 可 以 单 击 * 浏 览 "按钮 进行 搜索 。 另 
外 ,该 功能 仅 能 在 域 环境 中 使 用 。 

2. 管理 事件 日 志 

事件 日 志 的 产生 是 自动 的 ,但 是 日 积 月 累 占 用 系统 空间 也 会 越 来 越 多 ,这 会 严重 影响 服 
务 器 的 运行 速度 ,甚至 会 丢失 早期 重要 的 事件 日 志 。 管 理事 件 日 志 主 要 就 是 清除 陈旧 无 用 
的 信息 ,并 导出 重要 信息 妥善 保管 ,以便 日 后 查看 。 用 户 可 以 对 本 地 计算 机 或 远程 计算 机 的 
事件 日 志 进行 管理 。 

(1) 删除 时 间 日 志 

删除 日 志 时 ,系统 首先 删除 包含 该 日 志 内 容 的 文件 ,然后 访问 注册 表 并 将 注册 到 此 日 志 
的 所 有 事件 源 的 注册 都 移 除 。 因 此 即使 重新 创建 已 被 删除 日 志 , 也 不 会 以 默认 方式 创建 这 
些 源 。 删 除 相关 事件 日 志 之 前 ,必须 保证 当前 操作 用 户 账户 拥有 足够 的 操作 权限 。 需 要 注 
意 的 是 ,重新 创建 事件 日 志 是 一 个 相当 麻烦 的 过 程 .因此 建议 不 要 删除 任何 由 系统 创建 的 事 
件 日 志 ( 如 “系统 "日志 )。 可 以 根据 需要 删除 和 重新 创建 自 定 义 日 志 。 
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打开 “事件 查看 器 "窗口 ,在 左 侧目 录 中 选择 想 要 删除 的 事件 日 志 的 类 型 ,然后 单 击 “ 操 
作 ” 按 钮 并 选择 “清除 日 志 ” 命 令 , 显 示 图 4-54 所 示 的 对 话 框 。 提示 在 清除 之 前 是 否 要 保存 
这 些 事件 日 志 ,如 果 想 要 彻底 删除 这 些 事件 日 | 
志 , 则 可 以 直接 单 击 * 清 除 "按钮 ; 如 果 在 清除 之 3 

前 想 要 保存 该 日 志 ,可 以 单 击 * 保 存 并 清除 "按钮 [ssl sl ss 

将 其 导出 。 图 4-54 删除 事件 日 志 提示 


提示 : 必须 以 管理 员 或 Administrators 组 
成 员 的 身份 登录 才能 清除 事件 日 志 。 清 除 日 志 后 ,日 志 中 将 只 显示 新 的 事件 。 不 能 清除 存 
档 日 志 , 而 是 删除 存档 的 日 志文 件 。 

(2) 导出 事件 日 志 

如 果 Windows 服务 器 的 访问 量 非常 大 , 则 每 天 产生 的 日 志文 件 大 小 也 是 非常 惊人 的 ， 
尽管 安装 Windows 系统 和 网 络 服务 时 ,已 经 选择 了 安全 可 靠 的 日 志保 存 目录 ,但 为 了 确保 
日 志文 件 的 完整 .安全 ,应 适时 将 其 备份 至 安全 性 较 高 的 存储 介质 ,如 光盘 或 其 他 文件 服务 
器 等 ,以 免 由 于 系统 故障 或 日 志文 件 自动 覆盖 , 而 丢失 重要 信息 。 另 外 ,事件 日 志 是 管理 员 
诊断 和 排除 服务 器 故障 的 重要 依据 ,因此 对 于 一 些 重要 的 系统 日 志 如 果 仍 然 采取 统统 删除 
的 手段 ,显然 是 不 可 取 的 。 为 了 释放 系统 和 磁盘 空间 ,可 以 将 其 暂时 导出 保存 ,需要 的 时 候 
还 可 以 导入 查看 。 

在 “事件 查看 器 "窗口 中 , 单 击 要 导出 保存 的 事件 类 型 ,如 "系统" 日志, 然后 选择 “操作 ” 
菜单 中 的 “将 事件 另存 为 ”命令 ,打开 图 4-55 所 示 的 对 话 框 ,并 在 “文件 名 "文本 框 中 输入 合 
适 的 文件 名 。 

如 果 以 日 志文 件 格式 存档 日 志 , 则 可 以 在 “事件 查看 器 "窗口 中 重新 打开 。 另 存 为 事件 
日 志文 件 ( x .evtx) 的 日 志 , 将 保留 所 记录 的 每 个 事件 的 二 进 制 数据 。 把 日 志 存档 为 文本 表 
格 的 格式 (分 别 为 * .txt 和 *.csy), 还 可 以 在 Office Excel 或 其 他 文字 处 理 软件 中 重新 打 
开 日 志 。 把 日 志保 存 为 配置 文件 格式 (* . xml) ,可 以 在 IE 浏览 器 中 浏览 日 志 信息 。 

单 击 “ 保 存 " 按 钮 ,显示 图 4-56 所 示 的 “显示 信息 ”对 话 框 。 如 果 想 要 在 其 他 计算 机 上 正 
确 查 看 该 日 志 信 息 , 可 以 选中 “显示 这 些 语言 的 信息 " 单 选 按钮 ,并 设置 所 显示 的 语言 信息 。 
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图 4-55 保存 事件 日 志 图 4-56 “显示 信息 ”对 话 框 
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提示 : 将 日 志文 件 存档 时 ,不 管 第 选 选 项 如 何 设置 ,整个 日 志 都 被 保存 。 保 存 日 志 时 不 
保留 排序 顺序 。 存 档 对 当前 的 活动 日 志 内 容 无 效 。 

(3) 查看 存档 事件 日 志 

查看 曾经 保存 过 的 事件 日 志 , 首 先 必须 打开 “事件 查看 器 ”控制 台 窗 口 ,然后 选择 “操作 ” 
菜单 中 的 “打开 保存 的 日 志 ” 命 令 , 显 示 图 4-57 所 示 的 “打开 保存 的 文件 "对话 框 ,需要 注意 
的 是 ,打开 存档 事件 之 前 必须 指定 其 日 志 类 型 , 单 击 “ 文 件 名 ” 右 侧 的 下 拉 按 钮 选择 对 应 类 型 
即 可 。 


文 伯 实 bad 
文 H 名 Wewee ”到 | 契 件 日志 文人 wix* “到 
ETT ]】 _@ 消 时 


图 4-57 “打开 保存 的 文件 "对 话 框 


只 有 当日 志 是 以 日 志文 件 格式 (. evtx) 保 存 时 ,才能 在 “事件 查看 器 ”中 查看 已 存档 的 文 
件 。 打 开 保 存 的 事件 日 志 后 是 不 可 以 进行 刷新 或 删除 的 。 

3. 将 任务 附加 到 事件 

Windows Server 2008 系统 的 “事件 查看 器 "新 增 了 通知 、 提 醒 功 能 ,通过 将 任务 计划 附 
加 到 指定 类 型 的 事件 ,系统 即 可 自动 以 某 种 方式 通知 用 户 ,如 发 送 E-mail 邮件 、 弹 出 提示 信 
息 、 开 启程 序 等 。 可 以 选择 一 类 系统 事件 作为 关联 对 象 ,也 可 以 选择 单个 事件 进行 关联 。 将 
任务 附加 到 一 类 事件 的 具体 操作 步骤 如 下 。 

(1) 在 “事件 查看 器 "窗口 中 . 右 击 “安装 程序 ”链接 (此 处 以 “安装 程序 ”类 别 的 Windows 
事件 为 例 ) ,并 在 快捷 菜单 中 选择 “将 任务 附加 到 事件 ”命令 ,启动 “创建 基本 任务 向 导 ”, 显 示 
图 4-58 所 示 的 “创建 基本 任务 向 导 ” 对 话 框 。 这 里 使 用 系统 默认 名 称 , 并 在 “描述 "文本 框 中 
输入 对 此 基本 任务 的 简单 描述 .以 便 区 分 。 

(2) 单 击 “ 下 一 步 "按钮 ,显示 “登录 特定 事件 时 ”对 话 框 。 当 出 现 定义 的 事件 时 ,将 发 生 
的 动作 。 

(3) 单 击 “下 一 步 ? 按 钮 ,显示 图 4-59 所 示 的 “操作 ”对 话 框 。 定 义 当 事 件 发 生 后 ,希望 
发 生 的 操作 ,本 例 中 选中 “发 送 电 子 邮 件 ” 单 选 按钮 。 

(4) 单 击 “下 一 步 按 钮 ,显示 图 4-60 所 示 的 “发 送 电 子 邮 件 ” 对 话 框 。 在 “发 件 人 ”和 
“ 收 件 人 ”文本 框 中 输入 希望 使 用 的 E-mail 邮箱 地 址 。 在 “正文 ”文本 框 中 可 以 输入 简短 的 
描述 信息 ,告知 用 户 发 送 此 邮件 的 目的 。 


图 4-58 “创建 基本 任务 向 导 " 对 话 框 


图 4-59 “操作 ”对 话 框 


(5) 单 击 “下 一 步 ?按钮 ,显示 图 4-61 所 示 的 “摘要 ”对 话 框 ,提示 当前 已 做 的 所 有 设置。 
如 果 选 中 * 当 单 击 “ 完 成 "时 .打开 此 任务 属性 的 对 话 框 " 复 选 框 , 则 关闭 “创建 基本 任务 向 导 ” 
后 ,可 以 立即 查看 和 编辑 其 属性 设置 。 

(6) 单 击 “ 完 成 "按钮 ,打开 图 4-62 所 示 的 “事件 查看 器 ”提示 对 话 框 ,提示 计划 任务 已 
创建 完成 ,可 以 在 “任务 计划 程序 ”中 查看 和 编辑 计划 的 任务 。 

(7) 单 击 “ 确 定 ” 按 钮 ,关闭 对 话 框 即 可 。 
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图 4-61 “摘要 ”对 话 框 


提示 : 在 Windows Server 2008 系统 中 ,可 以 通过 依次 选择 "开始 ”一 “管理 工具 ”>“ 任 
务 计划 程序 ”命令 ,打开 “任务 计划 程序 ”管理 器 ,在 这 里 管理 员 可 以 对 系统 中 所 有 的 计划 任 
务 进行 配置 和 管理 。 在 “事件 查看 器 ”中 创建 的 任务 关联 也 会 显示 在 这 里 ,如 图 4-63 所 示 。 

通过 “创建 基本 任务 向 导 ” 创 建 的 任务 关联 计划 ,默认 只 能 设置 单一 的 “触发 器 ( 即 执行 
任务 的 条 件 )” 和 “动作 ”。 例 如 ,在 “任务 计划 程序 ”窗口 中 ,双击 已 创建 的 关联 任务 计划 (以 
Setup 为 例 ) ,打开 “Setup 属性 ”对 话 框 ,选择 “操作 ”选项 卡 , 单 击 “ 新 建 " 按 钮 ,打开 “新 建 操 


作 ” 对 话 框 ,在 “操作 ”下 拉 列 表 框 中 ,继续 选择 希望 执行 。 pez 
的 操作 类 型 即 可 ,如 图 4-64 所 示 。 ©@ mts 


4. 分 析 日 志和 调试 日 志 
分 析 日 志和 调试 日 志 主 要 面向 IT 专业 用 户 提 供 ， 
用 于 分 析 事 件 产生 的 原因 、 过 程 等 因素 ,对 普通 用 户 的 ”图 4-62 “事件 查看 器 "提示 对 话 框 
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图 4-64 “新 建 操作 ”对 话 框 


正常 应 用 没有 太 大 影响 。 因 此 .默认 情况 下 分 析 日 志和 调试 日 志 为 禁用 和 隐藏 状态 。 用 户 
可 以 打开 “事件 查看 器 ”窗口 ,然后 选择 “查看 ”菜单 中 的 “显示 分 析 和 调试 日 志 ” 命 令 , 即 可 在 
“应 用 程序 和 服务 日 志 ” 目 录 中 看 到 相关 的 事件 日 志 . 如 图 4-65 所 示 。 


4.3.2 系统 日 志 设 置 


正 因为 系统 日 志 有 如 此 重要 的 作用 ,妥善 保存 这 些 日 志 记录 成 为 管理 员 日 常 维护 的 一 
项 重要 工作 。 默 认 状 态 下 ,系统 日 志 的 存储 空间 、 保 存 方法 、 保 存 日 期 都 是 有 一 定 限制 的 ,如 
果 系 统 事件 较 多 ,时 间 长 了 很 可 能 会 造成 存储 溢出 , 即 导致 部 分 事件 记录 被 自动 清除 。 因 


图 4-65 显示 分 析 和 调试 日 志 


此 ,通常 情况 下 需要 对 系统 日 志 进行 如 下 设置 。 

1. 设置 系统 日 志 选 项 

在 "事件 查看 器 "控制 台中 , 右 击 需要 配置 选项 的 日 志 类 型 ,如 “应 用 程序 "事件 日 志 ， 
快捷 菜单 中 选择 “属性 ”命令 ,显示 图 4-66 所 示 的 “日 志 属 性 ”对 话 框 。 


各 民 性 -应 用 程序 类型、 管理 的 


图 4-66 设置 事件 日 志 选 项 


(1) 日 志 路 径 : 当前 日 志 的 保存 路 径 。 

(2) 日 志 最 大 大 小 (KB): 当前 事件 日 志 在 计 算 机 磁盘 中 被 分 配 的 磁盘 空间 ,可 以 根据 
服务 器 类 型 判断 日 志文 件 的 大 小 ,从 而 设 定 合适 的 空间 上 限 ,建议 设置 较 大 的 空间 上 限 , 以 
免 由 于 磁盘 空间 不 足 而 自动 删除 未 经 保存 的 陈旧 事件 日 志 。 

(3) 达到 事件 日 志 最 大 大 小 时 : 当 达 到 日 志 大 小 上 限时 ,系统 将 按照 默认 或 预先 设 定 
的 动作 执行 ,系统 默认 的 是 “ 按 需 要 覆盖 事件 ”。 
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2. 创建 自 定义 视图 

通常 情况 下 ,服务 器 运行 过 程 中 会 产生 大 量 的 事件 日 志 , 如 果 逐 个 查看 这 些 事件 则 需要 
花费 很 长 的 时 间 ,而 其 中 大 部 分 都 是 记录 访问 或 操作 成 功 的 日 志 , 对 于 管理 员 的 安全 管理 工 
作 意 义 不 大 。 自 定义 视图 的 功能 类 似 于 “筛选 ,通过 创建 自 定 义 视 图 ,可 以 指定 自己 希望 查 
看 的 事件 。 例 如 只 显示 错误 事件 和 警告 事件 ,正常 的 事件 将 不 需要 显示 。 

(1) 以 管理 员 账 户 登录 服务 器 ,打开 * 事 件 查看 器 ”窗口 ,选择 * 自 定义 视图 类别, 并 
在 “操作 "菜单 中 选择 “创建 自 定义 视图 "命令 ,打开 图 4-67 所 示 的 “创建 自 定义 视图 "对 
话 框 。 

(2) 在 “记录 时 间 ” 下 拉 列 表 框 中 选择 日 志 产生 的 时 间 ,系统 默认 为 “任何 时 间 ”, 用 户 还 
可 以 选择 “前 1 个 小 时 ”“ 过 去 的 24 小 时 ”“ 最 后 的 7 天 ”等 时 间 , 或 者 选择 “ 自 定义 范围 选 
项 ,打开 图 4-68 所 示 的 “ 自 定义 范围 ”对 话 框 ,设置 希望 查看 日 志 产 生 的 时 间 范 围 。 例 如 , 按 
照 事 件 产生 的 时 间 设 置 ,首先 ,分 别 在 "从 ”和 “到 ”下 拉 列 表 框 中 选择 “事件 时 间 ” 选 项 ,然后 
再 分 别 定义 开始 和 截止 的 日 期 和 时 间 即 可 。 
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图 4-67 “创建 自 定义 视图 ”对话 框 图 4-68 “ 自 定义 范围 "对 话 框 


(3) 单 击 “ 确 定 ” 按 钮 返回 “创建 自 定义 视图 ”对 话 框 ,在 “事件 级 别 " 选 项 区 域 选择 事件 
的 级 别 ,例如 “警告 "和 “错误 ”。 

(4) 选中 * 按 日 志 ” 单 选 按 钮 ,并 在 “事件 日 志 ”" 下 拉 列 表 框 中 依次 选中 “Windows 日 志 ” 一 
“安全 ” 复 选 框 ,如 图 4-69 所 示 。 

(5) 单 击 “ 确 定 ” 按 钮 ,显示 图 4-70 所 示 的 “将 筛选 器 保存 到 自 定义 视图 ”对 话 框 ,输入 
自 定义 视图 的 名 称 ,以 及 自 定义 视图 在 事件 查看 器 中 的 位 置 。 

(6) 单 击 “ 确 定 ” 按 钮 ,完成 自 定义 视图 的 创建 ,如 图 4-71 所 示 。 在 事件 列表 中 ,显示 的 
所 有 事件 级 别 全 部 是 “错误 ”。 


4.3.3 知识 链接 : Windows 的 日 志 类 别 
Windows 日 志 的 类 别 如 下 。 
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图 4-71 “服务 器 管理 器 "窗口 
1. 应 用 程序 日 志 


应 用 程序 日 志 包 含 由 应 用 程序 或 程序 记录 的 事件 ,例如 ,数据 库 程序 可 在 应 用 程序 日 志 
中 记录 文件 错误 。 程序 开发 人 员 决 定 记 录 哪 些 事件 。 
2. 安全 日 志 


安全 日 志 包 含 诸如 有 效 和 无 效 的 登录 尝试 等 事件 ,以 及 与 资源 使 用 相关 的 事件 ,如 创 
建 、. 打 开 或 删除 文件 或 其 他 对 象 。 管 理 员 可 以 指定 在 安全 日 志 中 记录 什么 事件 ,例如 ,如 果 


已 启用 登录 审核 , 则 对 系统 的 登录 尝试 将 记录 在 安全 日 志 中 。 
3. 安装 程序 日 志 


安装 程序 日 志 包 含 与 应 用 程序 安装 有 关 的 事件 。 
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4. 系统 日 志 


系统 日 志 


包含 Windows 系统 组 件 记 录 的 事件 ,例如 ,在 启动 过 程 中 加 载 驱动 程序 或 其 


他 系统 组 件 失败 将 记录 在 系统 日 志 中 。 系 统 组 件 所 记录 的 事件 类 型 由 Windows 预先 


确定 。 


5. ForwardedEvents 日 志 
ForwardedEvents 日 志 用 于 存储 从 远程 计算 机 收集 的 事件 。 若 要 从 远程 计算 机 收集 事 


件 ,必须 创建 


习题 


和 件 订阅 。 


1. 本 地 安全 策略 包括 哪些 内 容 ? 
2，Windows 日 志 包括 哪 几 类 日 志 ? 


实验 : 熟练 安全 配置 向 导 的 使 用 


实验 目的 
掌握 使 用 
实验 内 容 
配置 服务 
实验 步骤 


(1) 启动 


安全 配置 向 导 配 置 系统 安全 策略 。 
器 的 网 络 安全 策略 及 注册 表 安 全 策略 ,保存 并 应 用 安全 策略 。 


安全 配置 向 导 ,确认 创建 新 策略 。 


(2) 选择 所 要 配置 的 服务 器 。 
(3) 选择 服务 器 角色 。 

(4) 选择 客户 端 功 能 。 

(5) 选择 管理 和 其 他 选项 。 
(6) 选择 其 他 服务 。 


(7) 配置 


网 络 安全 策略 。 


(8) 设置 注册 表 。 

(9) 设置 审核 策略 。 
(10) 保存 安全 策略 。 
(11) 应 用 安全 策略 。 


Windows 网 络 服务 管理 


Windows Server 2008 作为 服务 器 操作 系统 ,其 主要 任务 就 是 为 网 络 提供 各 种 服务 ,如 
JIS 服务 .DHCP 服务 .DNS 服务 等 。 为 了 最 大 限度 地 使 用 系统 资源 ,需要 控制 系统 服务 的 
运行 状态 ,这 不 仅 事 关 服务 器 的 系统 性 能 ,而 且 事 关 服务 器 的 系统 安全 ,也 是 系统 管理 员 系 
统 维护 工作 的 重要 组 成 部 分 。 


5.1 Windows 网 络 服务 规划 


网 络 的 主要 特点 是 网 络 共 享 ,这 也 是 网 络 的 主要 功能 ,要 实现 该 功能 ,必须 在 网 络 中 拥 
有 提供 服务 的 服务 器 。 针 对 于 不 同 的 网 络 需求 ,在 网 络 中 需要 安装 的 网 络 服务 也 就 不 同 , 例 
如 ,为 了 共享 文件 ,可 在 网 络 中 安装 文件 服务 器 。 


5.1.1 项 目 背 景 


在 当前 网 络 中 ,几乎 所 有 的 网 络 服务 均 安 装 在 Windows Server 2008 操作 系统 中 , 即 几 
乎 所 有 的 服务 平台 均 采 用 Windows Server 2008 操作 系统 。 而 对 于 服务 器 状态 的 监控 , 则 
选择 使 用 第 三 方 的 软件 ,将 其 安装 在 Windows Server 2003 操作 系统 中 。 


5.1.2 项 目 需求 


默认 情况 下 ,服务 器 操作 系统 安装 完成 后 ,不 会 安装 任何 服务 组 件 ,这 些 组件 需 要 管理 
员 根 据 需要 进行 选择 性 的 安装 。 并 且 在 安装 多 数 服务 时 ,如 果 使 用 默认 的 安装 组 件 是 不 能 
满足 网 络 要 求 的 ,还 需 根据 需要 安装 所 需 的 角色 服务 。 另 外 ,在 网 络 中 还 存在 一 些 对 网 络 的 
稳定 性 和 服务 的 稳定 性 要 求 比较 高 的 网 络 服务 ,对 于 这 些 服 务 则 必须 使 用 相应 的 技术 来 


5.1.3 解决 方案 


对 于 当前 网 络 中 网 络 服务 的 管理 需求 ,可 使 用 如 下 方案 解决 。 

(1) 服务 器 角色 和 角色 服务 的 安装 ,以 及 删除 服务 器 角色 均 采 用 Windows Server 2008 
操作 系统 提供 的 “服务 器 管理 器 ?来 完成 。 

(2) 网 络 服务 的 管理 可 通过 MMC 控制 台 和 相应 服务 所 提供 的 独立 管理 窗口 进行 
管理 。 


第 5 章 ”Windows 网 络 服务 管理 


(3) 网 络 服务 状态 监控 可 通过 使 用 第 三 软件 Servers Alive 和 OpManager 实现 。 

(4) 对 于 网 络 中 安装 比较 重要 的 服务 的 服务 器 ,可 采用 服务 器 群集 技术 实现 故障 转移 ， 
从 而 保证 网 络 服务 的 稳定 运行 。 

(5) 对 于 网 络 访问 量 比较 大 的 服务 器 , 则 可 采用 网 络 负载 平衡 技术 ,合理 地 将 访问 量 进 
行 元 余 。 


5.2 ”网络 服务 的 添加 与 删除 


Windows Server 2008 的 一 个 亮点 就 是 组 件 化 ,所 以 微软 使 用 "服务 器 管理 器 ”替代 了 
“管理 您 的 服务 器 ”。 而 Windows Server 2003 中 需要 在 “添加 /删除 Windows 组 件 ” 和 “ 配 
置 您 的 服务 器 向 导 ” 中 完成 的 操作 ,都 可 以 在 “服务 器 管理 器 ”中 来 完成 。Windows Server 
2008 支持 的 网 络 服务 虽然 更 多 了 ,但 默认 不 会 安装 任何 组 件 , 只 是 一 个 提供 用 户 登 录 的 、 独 
立 的 网 络 服务 器 ,用 户 可 以 根据 自己 的 需要 来 安装 相关 的 网 络 服务 。 

5.2.1 添加 服务 器 角色 

在 Windows Server 2008 中 ,所 有 的 角色 都 可 以 通过 “服务 器 管理 器 ”添加 。 

(1) 在 “服务 器 管理 器 "窗口 中 , 单 击 “ 添 加 角色 ”链接 ,启动 “添加 角色 向 导 ”, 首 先 会 显 
示 图 5-1 所 示 的 “开始 之 前 ”对 话 框 ,提示 此 向 导 可 以 完成 的 工作 ,以 及 操作 之 前 应 注意 的 相 
关 事 项 。 


开始 之 LD 
bot) 后 所作 之 前 ， 请 这 汪 下 二 
二 :有 
全 时 2 过 
各 覃 和 守成 上 过 任何 妆 请 明和 导 ， 完 成 上台， 然后 次 二 何 有 
舌 要 继续 主音 二 “下 一步" 。 


厂 默认 情况 下 振 中 过 此 页 G) 


FE E29 B 消 


图 5-1 “开始 之 前 ”对 话 框 


提示 : 如 果 完 成 “初始 配置 任务 "后 ,阻止 了 该 窗口 开机 时 自动 显示 , 则 可 以 通过 选择 
“开始 ”>“ 管 理工 具 ”>“ 服 务 器 管理 器 ”命令 ,打开 “服务 器 管理 器 "窗口, 展开“ 角色” 目录， 
并 单 击 右 侧 窗口 中 的 “添加 角色 ”链接 ,同样 可 以 打开 “添加 角色 向 导 ” 对 话 框 。 另 外 ， 
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Windows Server 2008 安装 完成 后 ,默认 会 在 快速 启动 栏 中 创建 “服务 器 管理 器 ”的 快捷 
次 或 。 

(2) 单 击 “ 下 一 步 "按钮 ,显示 图 5-2 所 示 的 “选择 服务 器 角色 ”对 话 框 。 所 有 可 安装 的 
网 络 服务 全 部 显示 在 列表 框 中 , Windows Server 2008 提供 的 服务 器 角色 要 比 Windows 
Server 2003 多 了 很 多 ,这 也 是 其 功能 强大 的 一 个 方面 。 如 果 角 色 前 面 的 复 选 框 是 空 的 , 则 
表示 尚未 安装 ,如 果 已 选中 ,说 明 该 网 络 服务 已 经 安装 。 在 列表 框 中 选中 拟 安装 的 网 络 服务 
对 应 的 复 选 框 即 可 。 


如 角色 向 导 划 


座 选择 服务 器 角色 
开始 之 前 


服务 器 角色 
确认 
进度 
结果 


FW Ea 取消 


图 5-2 “选择 服务 器 角色 "对话 框 


注意 : 根据 所 选 的 服务 器 角色 的 不 同 , 安 装 过 程 可 能 有 所 不 同 。 

(3) 部 分 网 络 服务 安装 过 程 中 可 能 需要 提供 Windows Server 2008 安装 光盘 ,按照 提示 
操作 即 可 。 有 些 网 络 服务 可 能 会 在 安装 过 程 中 调用 配置 向 导 , 做 一 些 简单 的 服务 配置 ,但 更 
详细 的 配置 通常 都 借助 于 安装 完成 后 的 网 络 管理 实现 。 


5.2.2 添加 角色 服务 


服务 器 角色 的 模块 化 是 Windows Server 2008 的 一 个 突出 特点 ,不 同 的 服务 器 角色 可 
以 完成 独立 网 络 功能 。 但 是 在 安装 某 些 角色 时 ,同时 还 会 安装 一 些 扩展 组 件 ,来 实现 更 强大 
的 功能 ,普通 用 户 完全 可 以 根据 自己 的 需要 酌情 选择 。 添 加 角色 服务 就 是 安装 在 先前 安装 
过 程 中 没有 选择 的 子 服务 ,例如 * 网 络 策略 和 访问 服务 ?角色 中 包括 的 "网络 策略 服务 器 ”、 
“路 由 和 远程 访问 服务 ”“ 健 康 注册 机 构 ” 等 ,如 果 先 前 已 经 安装 了 “路 由 和 远程 访问 服务 ”， 
则 可 按照 如 下 操作 步骤 完成 其 他 角色 服务 的 添加 。 

(1) 依次 选择 “开始 ”>“ 管 理工 具 ”>“ 服 务 器 管理 器 "命令 ,打开 “服务 器 管理 器 ”窗口 。 
在 左 侧 栏 中 ,依次 展开 “角色 ”一 “Web 服务 器 (IIS)” 目 录 , 在 右 侧 的 “角色 服务 "区域 中 , 即 可 
查看 所 安装 的 功能 组 件 ,如 图 5-3 所 示 。 

(2) 单 击 “ 添 加 角色 服务 "链接 ,显示 图 5-4 所 示 的 “选择 角色 服务 ”对 话 框 。 在 “角色 服 
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图 5-4 “选择 角色 服务 "对 话 框 


务 ” 列 表 中 ,选中 想 要 安装 的 角色 服务 的 复 选 框 。 
(3) 单 击 “下 一 步 ?按钮 ,显示 图 5-5 所 示 的 “确认 安装 选择 ”对 话 框 。 检 查 所 要 安装 的 
角色 服务 是 否 为 想 要 的 内 容 。 
(4) 单 击 “ 安 装 ”按钮 ,开始 安装 相应 的 角色 服务 。 安 装 完成 后 ,显示 图 5-6 所 示 的 “ 安 
(5) 单 击 “关闭 ?按钮 ,关闭 该 向 导 即 可 。 


s.2.3 删除 服务 器 角色 
服务 器 角色 的 删除 同样 可 以 在 "服务 器 管理 器 ”窗口 中 完成 ,需要 注意 的 是 ,在 删除 角色 


图 5-6 “安装 结果 ”对 话 框 


之 前 需 确认 是 否 有 其 他 网 络 服 务 或 Windows 功能 需要 调用 当前 服务 ,以 免 删 除 之 后 造成 服 
务 器 瘫痪 。 

(1) 在 “服务 器 管理 器 "窗口 中 ,展开 “角色 ”目录 ,会 显示 已 经 安装 的 服务 角色 ,如 
图 5-7 所 示 。 

(2) 单 击 “ 删 除 角 色 ” 链 接 , 打 开 图 5-8 所 示 的 “删除 服务 器 角色 ”对 话 框 ,取消 选中 想 要 
删除 的 角色 前 的 复 选 框 ,并 单 击 “ 下 一 步 "按钮 , 即 可 开始 删除 。 

提示 : 角色 服务 的 删除 ,同样 需要 在 指定 服务 器 角色 的 管理 器 窗口 中 完成 , 单 击 “角色 
服务 ”选项 框 旁 边 的 “删除 角色 ”链接 即 可 。 
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图 5-7 已 安装 的 服务 角色 


< 上 - 步 四 WO) 名 清 


图 5-8 “删除 服务 器 角色 "对话 框 


5.3 网络 服务 管理 控制 台 


通常 情况 下 ,网 络 服务 的 管理 可 以 使 用 MMC 控制 台 ,或 服务 角色 自身 所 提供 的 管理 控 
制 台 进行 管理 。 其 中 ,使 用 MMSC 控制 台 可 以 实现 在 同一 窗口 中 管理 多 个 服务 的 目的 ,并 且 
可 以 保存 控制 台 文件 ,方便 日 后 使 用 。 而 服务 角色 所 提供 的 管理 控制 台 , 只 能 管理 单一 的 服 
务 类 型 ,而 不 能 像 MMC 控制 台 一 样 同时 管理 多 种 类 型 项 目 。 
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5.3.1 MMC 控制 台 统一 管理 


MMC 用 于 创建 ,保存 并 打开 管理 工具 ,以 便 使 用 这 些 管 理工 具 来 管理 硬件 、 软 件 和 
Windows 系统 的 网 络 组 件 。MMC 可 以 运行 于 各 种 Windows 9x 和 Windows NT 操作 系统 
上 ,以 及 Windows XP Home Edition、Windows XP Professional、Windows Server 2003 和 
Windows Server 2008 家 族 的 操作 系统 上 。 

1. MMC 控制 台 

在 Windows 2000 以 前 版 本 中 的 管理 工具 都 是 一 些 可 执行 的 程序 ,只 能 在 安装 了 相应 
产品 的 计算 机 上 执行 相应 的 管理 功能 。Windows 2000 及 以 后 的 应 用 程序 (如 Microsoft 
Exchange、Microsoft ISA Server、Windows XP 等 ) 都 支持 MMC。 

使 用 MMC, 除 了 有 统一 的 、 标 准 的 管理 界面 之 外 ,还 可 以 在 一 个 MMC 的 管理 界面 中 
管理 所 有 的 、 本 地 的 或 远程 的 计算 机 上 的 相应 信息 。 图 5-9 所 示 为 包括 了 常用 管理 程序 的 
MMC 的 管理 界面 。 


图 5-9 集成 了 常用 管理 工具 的 MMC 


MMC 有 着 统一 的 管理 界面 ,MMSC 控制 台 由 3 个 窗 格 组 成 。 左 边 窗 格 显示 控制 台 树 ， 
控制 台 树 显示 控制 台中 可 以 使 用 的 项 目 ; 中 间 的 窗 格 为 详细 信息 窗 格 ,详细 列 出 这 些 项 目 
的 信息 和 有 关 功 能 , 随 着 单 击 控制 台 树 中 的 不 同 项 目 , 详 细 信 息 窗 格 中 的 信息 也 将 变化 , 详 
细 信 息 窗 格 可 以 显示 不 同 的 信息 ,包括 网 页 .图形 、 图 表 、 表 格 和 列 ,当选 中 某 个 项 目 时 ,在 右 
侧 窗 格 中 可 以 对 该 项 目 进行 相应 的 操作 。 

每 个 控制 台 都 有 自己 的 菜单 和 工具 栏 ,与 主 MMC 窗口 的 菜单 和 工具 栏 分 开 ,这 有 利于 
用 户 执行 任务 。Windows Server 2008 系统 的 MMSC 控制 台 版 本 为 3.0, 如 图 5-10 所 示 。 

2. MMC 控制 台 的 使 用 

使 用 MMC 控制 台 ,可 以 管理 本 地 计算 机 或 远程 计算 机 的 一 些 服务 或 应 用 ,这 些 与 安装 
在 要 管理 的 计算 机 上 的 程序 相关 ,例如 , 想 管 理 一 台 计 算 机 的 磁盘 ,可 以 在 MMC 控制 台中 
添加 磁盘 管理 单元 .具体 操作 步骤 如 下 。 

(1) 依次 选择 “开始 ”>“ 运 行 " 命 令 , 打 开 “ 运 行 ” 对 话 框 ,在 “打开 ”文本 框 中 输入 mmc， 
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如 图 5-11 所 示 。 


nament Censole 3.0 
5.0 (内 部 版 本 6001: Service Face 1) 
e200 Microsogt 


Windows 用 户 


indovs servere 的 可 用 攀 理 内 存 523 098 本 


CJ 


图 5-10 控制 台 版 本 图 5-11 “运行 "对 话 框 


(2) 单 击 “ 确 定 ” 按 钮 ,显示 MMC 管理 控制 台 。 
(3) 依次 选择 “文件 ”>“ 添 加 /删除 管理 单元 ”命令 ,或 者 按 Ctrl 十 M 键 ,显示 图 5-12 所 示 
的 “添加 或 删除 管理 单元 ”对 话 框 。 


FETETTTETTETTTRETOETT | 
CEIEJIRILID 
EE | 


所 
香 et 


ms Cm mw | 
图 5-12 “添加 或 删除 管理 单元 "对 话 框 


(4) 在 左 侧 * 可 用 的 管理 单元 "列表 中 ,选择 欲 添加 的 管理 单元 , 单 击 “ 添 加 "按钮 ,添加 
管理 单元 。 如 果 添 加 的 管理 单元 只 能 管理 本 地 
计算 机 ,管理 插件 会 自动 添加 到 MMC 控制 台 。 sennan man 

中 ,如 果 添 加 的 插件 也 可 以 管理 远程 计算 机 时 ， [=m ene mamanje 

则 会 显示 相应 的 选择 界面 。 这 里 以 添加 “计算 居 [AARA 全 
机 管理 ”为 例 进行 介绍 ,显示 图 5-13 所 示 的 “ 计 
算 机 管理 "对 话 框 。 在 该 对 话 框 中 ,可 以 设置 是 
管理 本 地 计算 机 ,还 是 管理 远程 计算 机 ,如 果 选 
中 “本 地 计算 机 (运行 这 个 控制 台 的 计算 机 )" 单 
选 按钮 , 则 可 以 添加 管理 本 地 计算 机 的 管理 单 图 5-13 “计算 机 管理 ”对话 框 
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元 ,如 果 选 中 “ 另 一 台 计 算 机 ” 单 选 按 钮 ,并 输入 远程 计算 机 的 名 称 ,可 管理 远程 计算 机 。 这 
里 选中 “本 地 计算 机 ” 单 选 按钮 。 


(5) 单 击 “ 完 成 ”按钮 , 即 可 将 该 管理 单元 添加 到 右 侧 "所 选 管理 单元 ”列表 中 ,如 
图 5-14 所 示 。 重 复 操作 ,可 添加 多 个 管理 单元 。 


示 加 或 删除 官 理 单元 划 


图 5-14 完成 管理 单元 添加 


(6) 单 击 “确定 ”按钮 ,完成 并 关闭 “添加 或 删除 管理 单元 "对话 框 ,返回 MMC 控制 台 ， 
成 功 添加 相应 的 管理 单元 ,如 图 5-15 所 示 。 


局 文件 F) 挤 作 ) 查看 0) 收藏 志 D) 画 口 天 号 o0 
和 哮 | 访 | 天 |L3| 回 症 


上 让 


划 
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图 5-15 添加 完 管理 插件 的 MMC 控制 台 


5.3.2 独立 管理 控制 台 


针对 于 不 同 的 网 络 服务 ,微软 定制 了 特定 的 管理 控制 台 , 不 同 的 管理 控制 台 只 能 管理 特 


定 的 角色 ,例如 “Active Directory 用 户 和 计算 机 ”管理 控制 台 , 只 能 管理 与 域 用 户 和 计算 机 
相关 的 功能 和 设置 ,如 图 5-16 所 示 。 


tr。 Dirertory 用 户 和 计算 机 


文件 四 “操作 四 下 看 WD 帮助 9 
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和 中 | 访 | 呈 | 口 | 四 已 | 四 站 | 马 包 关于 如 旦 


了 


图 5-16 “Active Directory 用 户 和 计算 机 ”管理 控制 台 


5.4 网 络 服务 状态 监 


操作 系统 是 整个 服务 器 提供 服务 的 基础 ,如 果 操 作 系 统 发 生 故 障 , 则 不 能 为 网 络 提供 服 
务 。 通 过 使 用 系统 管理 工具 ,可 以 时 刻 监视 远程 服务 器 或 计算 机 的 操作 ,例如 监视 远程 服务 
器 的 网 络 服务 运行 情况 .远程 计算 机 的 运行 状态 、 检 查 远 程 计算 机 的 计算 机 属性 设置 等 。 


5.4.1 


网 络 服 务 监 视 器 一 一 Servers Alive 


Servers Alive 的 主要 功能 为 监控 远程 服务 器 上 所 运行 的 各 种 服务 的 状态 ,是 一 款 功能 
强大 的 监控 软件 。 当 服务 器 出 现 问 题 时 ,可 以 使 用 多 种 方式 报警 ,例如 发 生 声音 、 发 送 
E-mail 等 。 该 软件 的 安装 比较 简单 ,只 需 保持 默认 设置 即 可 ,这 里 就 不 再 费 述 。 需 要 注意 
的 是 ,在 软件 安装 完成 后 ,需要 重新 启动 计算 机 才能 使 软件 正常 工作 。 


1. 设置 监控 服务 

(1) 依次 选择 “开始 ”一 “程序 ”一 Alive 一 
Servers Alive 命令 ,显示 图 5-17 所 示 的 Servers 
Alive 主 界面 。 

(2) 添加 需要 监控 的 内 容 。 单 击 Add 按钮 ， 
显示 图 5-18 所 示 的 Entries 对 话 框 。 

General 选项 卡 中 部 分 参数 的 含义 如 下 。 

@ Server name or IP[X] address: 要 监控 的 
服务 器 的 主机 名 或 IP 地 址 。 

@ Pretty name: 项 目 名 称 。 该 名 称 只 是 为 
了 与 其 他 项 目 相 区 分 ,并 无 实际 意义 。 

@@ Host ID: 要 在 Servers Alive 中 显示 的 顺 


Ble Bit eester Ee bop 


=l9lx| 
ServersAlive ww mm wr 加 


CE 


序数 值 , 也 可 由 程序 根据 添加 项 目的 先后 顺序 自 
动 设置 。 


me | 


图 5-17 Servers Alive 主 界面 
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@ Remark: 设置 项 目的 备注 信息 。 

@@ Active/ Maintenance: 选择 该 项 目 是 Active( 活 动 ) 或 Maintenance( 维 护 ) 。 

(3) 选择 图 5-19 所 示 的 Check 选项 卡 , 设 置 检测 项 目 。 在 Check to use 下 拉 列 表 框 中 
可 选择 要 监控 的 项 目 , 如 Ping、 各 种 服务 (NT service)、 进 程 (NT prosess)、 硬 盘 空 间 
(Diskspace) .URL ,数据库 (Database) ,External COM 等 ,例如 ,要 监控 服务 器 上 的 FTP 服 
务 , 可 选择 TCP Protocol 选项 ,然后 在 下 面 的 列表 框 中 选择 FTP 选项 ,在 on port 选项 区 域 
中 会 自动 显示 选中 默认 端口 Default(21) 单 选 按 钮 ,如 果 FTP 服务 使 用 的 不 是 21 端口 ,可 
在 other 文本 框 中 输入 相应 的 端口 号 。 


Sonoral] check | At | Bupa Topro | Scredie] Cos | set | 


SWING sz 
Te 


图 5-18 ”General 选项 卡 图 5-19 ”Check 选项 卡 


(4) 选择 Alert 选项 卡 , 设 置 警报 方式 。 单 击 Add 按钮 ,显示 图 5-20 所 示 的 快捷 菜单 ， 
Servers Alive 提供 了 多 种 警报 方式 ,如 发 送 邮 件 (Send SMTP mail) 、 声 音 报警 (Sound) 、 发 
送 ICQ/MSN/MIM/WinPOPUP 消息 等 ,根据 需要 进行 设置 即 可 。 

QO@ 这 里 以 发 送 邮件 警报 为 例 。 在 Add 快捷 菜单 中 选择 Send SMTP mail(primary) 命 
令 , 显 示 图 5-21 所 示 的 Add/edit alert 对 话 框 。 默 认 显示 What 选项 卡 ,在 To 文本 框 中 输 
和 要 接收 报警 邮件 的 邮箱 地 址 ,在 Subject 文本 框 中 设置 邮件 主题 ,在 Message(body) 文 本 框 
中 设置 要 发 送 的 内 容 , 这 里 使 用 不 同 符号 代替 ,如 %p 表示 IP 地 址 等 ,也 可 以 使 用 文本 信息 。 
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图 5-20 ”添加 警报 方式 图 5-21 What 选项 卡 
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@ 选择 When 选项 卡 , 根 据 用 户 实际 需要 设置 发 送 报警 的 条 件 , 如 图 5-22 所 示 。 
@ 选择 Schedule 选项 卡 , 设 置 发 出 警报 的 时 间 , 默 认 在 任意 时 间 都 可 以 使 用 警报 。 如 
果 需 要 在 某 段 时 间 不 发 出 警报 ,例如 在 周 六 和 周 日 不 发 出 警报 , 需 选中 Use alert schedule 
复 选 框 ,然后 在 其 选项 区 域 中 选中 Saturday 和 Sunday 区 域 , 单 击 Don't Alert 按钮 ,该 区 域 
就 会 变 成 红色 ,表示 在 该 时 间 段 内 不 使 用 警报 ,如 图 5-23 所 示 。 其 中 ,绿色 方块 表示 使 用 警 
报 ,红色 方块 表示 不 使 用 警报 。 
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图 5-22 When 选项 卡 图 5-23 Schedule 选项 卡 


@ 设置 完成 以 后 , 单 击 OK 按钮 ,该 警报 即 可 添加 到 Entries 对 话 框 中 的 Alert 列表 中 。 
重复 操作 ,可 以 添加 多 种 方式 的 报警 。 如 果 添 加 了 多 种 报警 方式 ,可 以 通过 单 击 潭 和 别 按 
钮 设置 报警 顺序 。 

(5) 为 了 方便 管理 员 查 看 警报 的 结果 ,可 以 将 结果 输出 为 网 页 形式 。 选 择 Output 选项 
卡 , 单 击 Add 按钮 ,显示 Add HTML page 对 话 框 ,可 添加 一 个 HTML 页 ,如 图 5-24 所 示 。 

(6) 选择 Logging 选项 卡 , 设 置 要 记录 的 日 志 类 型 ,如 图 5-25 所 示 。Servers Alive 可 以 
将 每 次 的 运行 状况 记录 到 监控 日 志 中 。 


OIC 
ed Check | At | DuwpwT Loooro | Semie] Cnen swok] 


rchude on the folowing HTML pages 


图 5-24 Add HTML page 对 话 框 图 5-25 设置 日 志 


(7) 选择 Schedule 选项 卡 , 设 置 监控 时 间 表 ,. 如 图 5-26 所 示 。 默 认 每 天 24 小 时 都 会 自 
动 监测 ,如果 想 让 某 个 时 间 段 不 进行 监测 ,可 选中 相应 的 时 间 段 ,并 单 击 Don't check 按钮 
即 可 。 

(8) 最 后 单 击 Add 按钮 ,该 监控 服务 便 会 添加 到 Servers Alive 窗口 中 。 重 复 操作 ,可 
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以 添加 多 个 监控 服务 ,如 图 5-27 所 示 。 


192.168100 8 (web2) FTP (TcP) on port 21 (imeod: 5) 
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图 5-26 设置 监控 时 间 表 图 5-27 监控 内 容 


(9) 单 击 Commands 选项 区 域 的 Start 按钮 ,Servers Alive 即 可 开始 进行 监控 ,并 且 每 
隔 5 分钟 检测 一 次 ,监测 结果 会 显示 在 主 窗口 上 方 。 单 击 Update 按钮 可 立即 更 新 。 

选中 某 个 监控 的 项 目 , 单 击 Edit 按钮 可 编辑 该 项 目 ; 单 击 Setup 按钮 可 设置 Servers 
Alive; 单 击 About 按钮 显示 Servers Alive 的 版 本 等 信息 ; 单 击 Exit 按钮 退出 Servers 
Alive。 默 认 会 监控 所 有 添加 的 服务 ,如 果 不 想 监控 某 项 服务 ,只 要 取消 该 服务 相应 的 复 选 
框 即 可 。 

2. 设置 邮件 警报 

在 Servers Alive 中 ,使 用 电子 邮件 可 以 向 管理 员 发 送 和 警报, 使 管理 员 及 时 了 解 到 所 监 
控 的 服务 所 发 生 的 变化 ,这 也 是 使 用 该 软件 最 常用 的 报警 方式 。 

(1) 在 Servers Alive 主 窗 口中 , 单 击 Setup 按钮 ,显示 SETUP 对 话 框 ,展开 Alerts 一 
SMTP 目录 , 即 可 设置 邮件 警报 。 这 里 以 Primary 为 例 进 行 介绍 ,如 图 5-28 所 示 , 选 中 
Enable primary SMTP mail 复 选 框 ,在 Mail host 文本 框 中 输入 发 送 邮件 服务 器 CSMTP 服 
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图 5-28 设置 邮件 警报 
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务 器 ) 地 址 ; 在 From 文本 框 中 输入 用 来 发 送 邮 件 的 邮箱 ,在 Default to 文本 框 中 输入 接收 
邮件 的 邮箱 ,在 Default subject 和 Default message 文本 框 中 分 别 输入 邮件 主题 和 内 容 。 最 
后 单 击 Apply 按钮 应 用 设置 即 可 。 

(2) 选择 Advanced 选项 ,如 图 5-29 所 示 。 如 果 选 中 Use SSL 复 选 框 ,可 以 使 用 SSL 
方式 进行 连接 。 在 Authentication 下 拉 列 表 框 中 选择 ESMTP 选项 ,并 在 Username 和 


Password 文本 框 中 分 别 输入 邮箱 的 登录 名 和 密码 ,最 后 单 击 OK 或 Apply 按钮 应 用 修改 。 
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图 5-29 设置 邮箱 登录 名 和 密码 


(3) 设置 完成 以 后 ,可 以 测试 一 下 邮件 警报 是 否 有 效 。 在 Primary 窗口 中 单 击 Testit 
按钮 进行 发 送 邮件 测试 ,如 果 所 设置 的 接收 邮箱 中 能 收 到 测试 邮件 ,说 明 邮 件 警 报 设置 正 
常 ,否则 就 需要 检查 并 重新 设置 。 按 照 上 述 同 样 设置 ,也 可 以 在 Alternate 中 设置 发 送 邮件 
警报 服务 器 。 

(4) 单 击 OK 按钮 。 此 时 , 当 Servers Alive 在 检测 到 警报 时 就 会 使 用 所 设置 的 邮箱 来 
发 送 邮件 。 

3, 查看 监控 状态 

Servers Alive 内 置 有 Web Server、Telnet Server、SSH Server、SNMP Trap Receiver 等 
几 种 服务 ,通过 Servers Alive 可 以 查看 这 几 种 服务 的 活动 状态 。 这 里 以 Web Server 为 例 
进行 介绍 。 

在 Servers Alive 主 窗口 中 , 单 击 Setup 按钮 ,显示 图 5-30 所 示 的 SETUP 窗口 ,依次 展 
开 Built-in servers 一 Web server 目录 ,选中 Enable web server[ HTTP] 复 选 框 ,在 Web 
server port number 文本 框 中 设置 Web 服务 的 端口 ,默认 为 4310 端口 ; 选中 Enable 
automatic web page update 复 选 框 以 自动 更 新 网 页 内 容 。 

最 后 , 单 击 Apply 或 OK 按钮 保存 并 应 用 设置 即 可 。 

在 网 络 中 任何 一 台 可 以 连接 到 监控 服务 器 的 计算 机 上 ,在 下 浏览 器 地 址 栏 中 输入 如 下 
格式 内 容 : http://IP 地 址 或 主机 名 :4310/status, 按 Enter 键 确 认 , 即 可 查看 Servers Alive 
监控 的 内 容 , 包 括 所 监控 的 项 目 及 最 后 一 次 检测 的 时 间 , 如 图 5-31 所 示 。 
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图 5-30 设置 Web Server 
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c) 1997-2008 Woodstone byba Servers Alive version 6.2.2279 
Purchase the full version of Servers Alive on http: 


Status of hosts at last check 


web2 (FTP (TCP) on port 21) om since 18:21:10, 2009-8-29 


Last check done on 2009 年 8 月 29 日 at 18:26:24 


图 5-31 以 Web 方式 显示 监控 内 容 
5.4.2 OpManager 监视 Windows 服务 


OpManager 是 一 款 专 业 有 效 的 网 络 和 应 用 管理 软件 ,包含 WAN 监控 、 服 务 器 管理 、 系 
统 和 应 用 程序 、 网 络 性 能 分 析 和 报表 管理 等 功能 。OpManager 具有 操作 简单 的 优点 ,可 以 
实现 网 络 和 数据 中 心 监 控 能 力 , 从 而 使 复杂 的 IT 管理 简单 易 行 。 该 软件 可 以 在 其 官方 网 
站 (www. adventnet. com. cn) 上 进行 下 载 。 

1. 启用 SNMP 

不 但 网 络 设备 可 以 通过 启用 SNMP 字符 串 功能 进行 管理 ,网 络 中 的 服务 器 同样 可 以 通 
过 启动 SNMP 进行 管理 。 但 无 论 是 Windows Server 2003 还 是 Windows Server 2008 ,必须 
首先 安装 简单 网 络 管理 协议 (SNMP) ,在 安装 完成 后 其 设置 操作 基本 相同 。 这 里 以 
Windows Server 2003 为 例 介 绍 简单 网 络 管理 协议 的 安装 与 设置 。 

(1) 依次 选择 “开始 ”一 “控制 面板 ”>“ 添 加 或 删除 程序 ”命令 ,打开 “添加 或 删除 程序 ” 
窗口 。 然 后 在 左 侧 栏 中 单 击 “ 添 加 /删除 Windows 组 件 ” 按 钮 ,打开 “Windows 组 件 向 导 ” 对 
话 框 ,在 "组件 ?列表 中 选中 “管理 和 监视 工具 ” 复 选 框 ,然后 单 击 * 详 细 信息 ”按钮 ,显示 图 5-32 
所 示 的 “管理 和 监视 工具 ”对 话 框 。 在 “管理 和 监视 工具 的 子 组 件 ” 列 表 中 ,选中 “简单 网 络 
管理 协议 (SNMP)” 复 选 框 。 
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图 5-32 “管理 和 监视 工具 ”对 话 框 


(2) 单 击 “ 确 定 ? 按 钮 ,返回 “Windows 组 件 向 导 ” 对 话 框 。 然 后 单 击 “ 下 一 步 " 按 钮 , 即 可 
开始 安装 简单 网 络 管理 协议 (SNMP), 并 根据 提示 插入 Windows Server 2003 安装 光盘 。 
安装 完成 后 , 单 击 “ 完 成 ”按钮 ,完成 并 关闭 向 导 即 可 。 

(3) 依次 选择 “开始 ”一 “管理 工具 ”一 “服务 "命令 ,打开 “服务 "窗口 。 在 服务 列表 中 , 双 
击 SNMP Service 选项 ,打开 “SNMP Service 的 属性 (本 地 计算 机 )” 对 话 框 。 选 择 图 5-33 所 
示 的 “安全 ”选项 卡 , 如 果 网 络 中 设置 有 SNMP 陷阱 ,可 以 选中 ”发 送 身份 验证 陷阱 ” 复 选 框 ， 
并 进行 相关 的 设置 ,这 里 取消 选中 该 复 选 框 。 

(4) 单 击 * 添 加 ”按钮 ,显示 图 5-34 所 示 的 “SNMP 服务 配置 ”对话 框 。 在 “团体 权限 ”下 
拉 列 表 框 中 ,选择 想 要 添加 的 SNMP 字符 串 的 权限 ,在 “团体 名 称 ” 文 本 框 中 ,输入 所 使 用 的 
SNMP 字符 串 。 重 复 操作 ,可 添加 多 个 权限 不 同 的 SNMP 字符 串 。 

(5) 根据 需要 选择 接受 SNMP 数据 包 的 方式 ,这 里 选中 “接受 来 自 这 些 主机 的 SNMP 
数据 包 " 单 选 按钮 。 默 认 会 自动 创建 一 个 接受 本 地 计算 机 的 列表 项 ,选择 该 选项 并 单 击 “ 编 
辑 ” 按 钮 ,显示 图 5-35 所 示 的 “SNMP 服务 配置 "对 话 框 。 在 “主机 名 ,IP 或 IPX 地 址 ”文本 
框 中 ,输入 指定 的 服务 器 的 信息 。 


?5ervice 的 硬性 (本 接 计 算 林 》 | 
| 型 杂 | 人 | 代理 |B 实 全 | 人 5 系 | 
厂区 身份 验 了 四 
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图 5-34 “SNMP 服务 配置 "对 话 框 
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图 5-33 “安全 ”选项 卡 图 5-35 设置 接受 SNMP 数据 包 的 方式 
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(6) 依次 单 击 “确定 ”按钮 ,保存 设置 即 可 。 

对 于 Windows 2008 服务 器 ,在 “服务 器 管理 器 "窗口 的 左 侧 栏 中 展开 “功能 ”目录 ,在 右 
侧 栏 中 单 击 “ 添 加 功能 ”功能 按钮 ,显示 图 5-36 所 示 的 “选择 功能 "对话 框 。 在 “功能 "列表 
中 ,选中 “SNMP 服务 ” 复 选 框 。 单 击 “ 下 一 步 按 钮 ,根据 提示 完成 安装 操作 即 可 。 


划 
ne 
口 间 单 TCMI 服务 
村 a 
Ew s30 | 
图 5-36 “选择 功能 "对 话 框 
安装 完成 后 ,具体 设置 SNMP 服务 的 操作 ,与 Windows 2003 相同 ,这 里 就 不 再 袭 述 。 


2. 安装 OpManager 
OpManager 是 AdventNet 所 提供 的 一 款 管理 网 络 、 系 统 及 应 用 程序 的 工具 ,适用 于 
Windows ,Linux、Solaris 等 多 种 系统 。OpManager 具有 故障 .性 能 报表 ,资源 清单 管理 ,全 
面 支持 SNMP 协议 ,监控 包括 数据 库 `Web FTP ,邮件 服务 器 等 功能 。 
(1) 系统 需求 
安装 OpManager 的 系统 需求 如 表 5-1 所 示 。 
表 5-1 安装 OpManager 的 系统 需求 


设备 数量 | 处 理 器 主 频 内 存 硬 盘 操作 系统 
50 以 下 1.7GHz 1GB 
50 二 150 2.4GHz 2GB Windows: Windows Server 2003， 
20GB Windows 2000 Professional 十 SP4， 
150~300 3.4GHz 2GB jee 
空闲 空间 Windows XP Professional Linux: 
300 一 500 2X3.4GHz 4GB Red Hat x 以 让 ,Debian do 
500 以 上 4X3.4GHz 4GB 


(2) OpManager 安装 

OpManager 软件 包 可 以 从 AdventNet 的 官方 网 站 (http://www. adventnet. com. cn) 
下 载 得 到 ,目前 OpManager 软件 包 的 最 新 版 本 为 OpManager 7.0。 主 要 操作 步骤 如 下 。 

在 图 5-37 所 示 的 Web Server Port 对 话 框 中 ,设置 OpManager 的 服务 器 运行 端口 , 默 
认 服 务 器 端口 为 80 。 如 果 当 前 系统 上 运行 有 其 他 的 Web 服务 器 (例如 IIS) ,为 了 避免 端口 
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发 生 冲 突 ,建议 在 安装 时 ,选择 一 个 80 以 外 的 不 常用 的 端口 (例如 9090.9088 等 ) ,这 里 使 用 
9088 端口 。 

在 图 5-38 所 示 的 Select the backend database for OpManager 对 话 框 中 ,如 果 选 中 MySQL 
(Bundled with the Product) 单 选 按钮 ,可 以 在 安装 OpManager 的 同时 ,安装 软件 所 需要 的 数据 
库 软件 。 如 果 选 中 MSSQL 单 选 按钮 ,可 以 让 OpManager 使 用 网 络 中 的 SQL Server 2000 或 
SQL Server 2005 数据 库 。 这 里 选中 MySQL(Bundled with the Product) 单 选 按 钮 。 
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图 5-37 Web Server Port 对 话 框 图 5-38 Select the backend database for 
OpManager 对 话 框 


3. 使 用 发 现 向 导 发 现 网 络 设备 

OpManager 安装 完成 后 , 即 可 从 网 络 中 的 任意 可 以 访问 到 该 服务 器 的 计算 机 上 登录 
OpManager ,该 操作 更 加 便于 管理 员 进 行 管理 ,这 里 客户 端 计 算 机 使 用 的 是 Windows Vista 系统 。 

(1) 在 I 正 浏览 器 的 地 址 栏 中 ,输入 http://OpManager 服务 器 IP 地 址 :9088, 这 里 的 
9088 即 为 在 OpManager 安装 时 所 设置 使 用 的 端口 号 ,例如 这 里 输入 的 地 址 为 : http:// 
192. 168. 100. 11:9088 , 按 Enter 键 确认 ,显示 图 5-39 所 示 的 登录 界面 。 在 “用 户 名 ”和 “和 密 
码 " 文 本 框 中 输入 默认 的 用 户 名 和 密码 , 即 admin。 
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图 5-39 登录 OpManager 
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(2) 单 击 Login 按钮 , 即 可 登录 OpManager。 第 一 次 登录 OpManager, 会 自动 启用 发 
现 向 导 , 如 图 5-40 所 示 。 


图 5-40 ”发 现 向 导 


(3) 单 击 Next 按钮 ,显示 图 5-41 所 示 的 “凭证 库 ” 页 面 ,并 自动 显示 “添加 凭证 ”对话 
框 。 在 "凭证 类 型 "下拉 列表 框 中 ,选择 所 使 用 的 SNMP 版 本 ,这 里 选择 SNMP v1/v2 选项 。 
在 "名称 ” 和 "描述 ”文本 框 中 ,分 别 输入 凭证 名 称 和 描述 信息 。 在 “SNMP 读 团体 字 串 ”和 
“SNMP 写 团体 字 串 "文本 框 中 ,分 别 输入 网 络 所 设置 的 读 团体 字符 串 和 写 团 体 字 符 串 。 在 
“SNMP 端口 "文本 框 中 ,保持 默认 设置 即 可 。 设 置 完成 后 , 单 击 “添加 ”按钮 即 可 。 


ER 


图 5-41 “凭证 库 " 页 面 


(4) 单 击 Next 按钮 ,显示 图 5-42 所 示 的 “选择 服务 "页面 。 在 左 侧 “ 支 持 的 服务 ”列表 
中 ,选择 所 要 添加 的 服务 单 击 “>> | 按钮 ,添加 到 “所 选 的 服务 ”列表 中 。 
(5) 单 击 Next 按钮 ,显示 图 5-43 所 示 的 “发 现 设备 ”页面 。 选 中 “使 用 IP 范围 ” 单 选 按 
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钮 ,分 别 在 “起 始 IP” 和 “结束 IP" 文 本 框 中 输入 所 要 发 现 的 IP 地 址 范围 。 在 “网 络 掩 码 ” 下 


拉 列 表 框 中 ,选择 所 要 使 用 的 网 络 掩 码 。 在 “要 用 的 凭证 ”列表 中 ,选中 所 要 使 用 的 凭证 对 应 
的 复 选 框 。 
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图 5-43 “发 现 设备 "页 面 
(6) 单 击 Next 按钮 , 即 可 开始 “发 现 设备 ”。 发 现 完成 后 ,显示 图 5-44 所 示 的 “导入 设 
备 "页面 ,显示 所 有 发 现 的 设备 。 


(7) 单 击 Next 按钮 ,将 已 发 现 的 设备 添加 到 OpManager 服务 器 中 ,设置 添加 完成 后 ， 
显示 图 5-45 所 示 的 页 面 。 


(8) 单 击 Finish 按钮 ,完成 设备 添加 ,并 登录 OpManager 主页 ,如 图 5-46 所 示 。 
4. 用 户 管理 


默认 情况 下 ,OpManager 会 创建 一 个 管理 用 户 , 其 用 户 名 和 密码 均 为 admin, 为 了 安全 
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图 5-44 “导入 设备 "页 面 
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图 5-46 OpManager 主页 
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起 见 ,必须 修改 该 用 户 的 密码 。 如 果 网 络 中 存在 多 个 管理 员 , 可 以 分 别 为 管理 员 创建 管理 用 
户 , 并 设置 其 相应 的 管理 权限 。 

(1) 创建 新 用 户 

如 果 想 要 创建 新 用 户 , 必 须 使 用 具有 完全 控制 权限 的 用 户 , 并 且 只 能 从 Web 客户 端 创 
建 和 管理 用 户 。 这 里 因为 第 一 次 登录 OpManager, 使 用 的 是 系统 默认 的 用 户 admin, 即 具有 
完全 控制 权限 的 用 户 。 

@ 在 OpManager 主页 中 , 单 击 “管理 ?按钮 ,如 图 5-47 所 示 。 
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图 5-47 管理 页 面 


@ 在 “工具 ”选项 区 域 中 , 单 击 “ 用 户 管理 器 "链接 ,显示 图 5-48 所 示 的 “用 户 配 置 ” 窗 
口 。 在 该 窗口 中 ,显示 当前 系统 中 存在 的 用 户 。 
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图 OpManager7 从 ~- 国 - 口 锅 ”mp 22GIRO 和-“ 


党 OpManager 


关 天 一 一 地 一 一 革 报 一 管理 一 报 全 一 一 去 


图 5-48 “用 户 配置 "窗口 
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@ 单 击 “ 添 加 用 户 ” 按 钮 ,显示 图 5-49 所 示 的 “添加 用 户 ” 窗 口 。 根 据 实际 需要 输入 用 


户 的 详细 信息 ,具体 包括 “用户 名 ”“ 密 码 ”“ 电 子 邮 件 ”“ 电 话 ” 等 信息 。 在 “访问 明细 ”选项 
区 域 中 ,根据 需要 设置 所 添加 用 户 的 权限 。 


OpManager 7 - Windows miemet 吾 - 
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园 OpManager7 全- 国 - 吕 各 - FEO~ 安 29- IRQ- DO- ” 
添加 用 户 WO i 
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登录 明细 You can create users with 
Er 
es ee ee Users heense td be 
ee able to add more users. 
请 重新 输入 . User Name: Type the 上 
Eid ”Eeeeee name of the user who can 
联系 人 明细 log on to OpManager. 
电子 邮件 ; Password: Configure a 
password. 
电话 
Re-type Password; Re- 
手机 日 type the password 
访问 明细 Pe 
用 户 权限 “: 局 完全 控制 Email 1d: Configure the 
四 R 读 机 限 email id of the user. 
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图 5-49 “添加 用 户 " 窗 口 


在 OpManager 中 具有 “完全 控制 "的 用 户 的 具体 权限 为 : 发 现 网 络 和 设备 ,管理 和 取消 
管理 设备 ,创建 自 定义 视图 ,创建 监视 器 ,修改 数据 库 维 护 、 警 报 逐 步 升级 和 用 户 权 限 等 , 创 
建设 备 类 型 ,配置 SNMP 陷阱 处 理 器 ,配置 设备 的 监视 间隔 ,创建 事件 日 志 规则 ,配置 URL 
监视 器 ,修改 设备 设 定 ,修改 发 现 设 定 。 

在 OpManager 中 具有 “只 读 权限 ”的 用 户 的 具体 权限 为 : 查看 被 管 设备 的 状态 ,快照 、 
图 表 和 报表 ,查看 、 注 释 \ 确 认 以 及 清除 警报 ,查看 被 管 设备 中 已 安装 的 软件 以 及 活动 进程 列 
表 , 查 看 和 修改 资产 明细 。 

@ 单 击 “ 添 加 用 户 ” 按 钮 ,完成 用 户 添加 的 设置 ,如 图 5-50 所 示 。 

(2) 修改 用 户 密码 

@ 在 “用 户 配置 ”窗口 中 , 单 击 需 要 修改 密码 的 用 户 右 侧 的 落 按钮 ,显示 图 5-51 所 示 
的 “编辑 配置 文件 -czce” 页 面 。 根 据 实际 需要 ,修改 用 户 的 密码 即 可 。 

@ 单 击 “ 确 定 ” 按 钮 ,保存 设置 即 可 。 

(3) 删除 用 户 

a 在 “用 户 配 置 ”窗口 中 , 单 击 需 要 删除 的 用 户 右 侧 的 寅 按钮 ,显示 图 5-52 所 示 的 “ 真 
的 要 删除 所 选用 户 吗 "提示 框 。 
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例 收 夫 | 高 加 Web sice Gallery ” 总 建议 网 ”站 自 定义 能 接 个 | 分享 到 
国 OpManager7 全" 国 -口才 - . _ RE 


MarageEngine 


迪 OpManager 


-一 一 二 省 和 一 一 地 图 一 一 邯 报 一 ”管理 三 报 去 一 二 支持 一 


图 5-50 ”用户 添加 成 功 


图 5-51 “编辑 配置 文件 -czc" 页 面 图 5-52 “ 真 的 要 删除 所 选用 户 吗 "提示 框 


@ 单 击 “ 确 定 ” 按 钮 , 即 可 删除 所 选用 户 。 

5. 网 络 发 现 

OpManager 使 用 SNMP 和 ICMP 设 定 自动 发 现 “发 现 向 导 ” 中 所 选择 的 网 络 ,以 及 其 
中 的 所 有 设备 。OpManager 使 用 Telnet 协议 来 识别 非 SNMP 设备 的 操作 系统 。 除 了 发 现 
所 选 网 络 上 的 设备 外 ,OpManager 还 可 以 扫描 已 发 现 设 备 上 的 服务 。 

(1) 配置 SNMP 发 现 

OpManager 使 用 SNMP 字符 串 发 现 设备 ,因此 ,需要 在 网 络 设备 上 安装 并 启用 
SNMP, 当 OpManager 发 现 设备 时 ,会 收集 许多 非常 有 用 的 信息 ,例如 活动 进程 .已 安装 软 
件 、 通 信和 量 和 带宽 利用 率 、 资 产 明细 等 。 配置 SNMP 发 现 的 具体 操作 步 又 如 下 。 
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中 在 管理 窗口 中 的 ”发 现 ” 选 项 区 域 中 , 单 击 * 赁 证 设置 按钮 ,打开 图 5-53 所 示 的 “ 凭 
证 库 ” 页 面 ,显示 当前 已 经 设置 的 SNMP 字符 串 。 


[ OpManager 7 - Windows Internet Explorer hE 
CII mp92168100 L908 opols -|B | | x | sass 
| 斌 8a | 高 加 web sice Galen 。 项 过 Wis ”站 和 定义 锋 接 和 分 可 到 习 内 


从 -四 -已 


ManageéEngme 


赔 OpManager 


如 助攻 

类 型 者 到 

SNMP ”Default ‘public read 
community. 
No Description for 
coolpen. 


OpManager accesses the remote 


a time, saving a lot of manual 
effort. 


You can edit/remove the 
existing credentials and add 


六 | 取 滑 | new ones. 
Credential Type: Select the w 
国 Internet | 全 护 模 式 全 用 入 有 我 1006 > 


图 5-53 “凭证 库 " 页 面 


四 单 击 “ 新 建 " 按 钮 ,显示 图 5-54 所 示 的 “添加 赁 证? 对话 框 。 具 体 设 置 方法 可 参见 前 
面 所 介绍 的 内 容 , 这 里 就 不 再 袭 述 。 


@ 单 击 "添加 "按钮 , 即 可 将 该 任 证 添加 到 * 任 证 ee 
库 ” 中 。 名 次 攻 

在 “凭证 库 ” 中 , 单 击 想 要 编辑 的 凭证 前 的 轿 按钮 ,可 以 a 
编辑 已 添加 的 凭证 。 E 


SNMP 读 团体 字 轩 lcoolpen 


(2) 发 现 多 个 网 络 


SNMP 写 团体 字 串 [coolpen.netd] 


默认 情况 下 ,OpManager 只 对 已 在 发 现 向 导 中 选择 的 ”snmpiso 161 


网 络 执行 发 现 ,但 通常 情况 下 ,网络 中 的 设备 会 处 于 同一 网 EE 
络 中 ,此 时 可 以 通过 配置 来 发 现 附加 网 络 或 子 网 ,以 扩展 管 。 加 5.54 “添加 凭证 "对 话 框 
理 范围 。 


@ 在 管理 窗口 中 的 “发 现 ?选项 区 域 中 , 单 击 * 添 加 设备 ”按钮 ,打开 图 5-55 所 示 的 “发 
现 设备 ”页面 。 选 中 “使 用 IP 范围 ? 单 选 按钮 ,并 分 别 在 “起 始 IP” 和 ”结束 JP" 文本 框 中 输入 
想 要 发 现 的 网 络 范围 ,在 “网 络 掩 码 " 下 拉 列 表 框 中 选择 所 使 用 的 子 网 掩 码 。 在 “要 用 的 凭 
证 ”列表 框 中 选中 所 使 用 的 SNMP 凭证 对 应 的 复 选 框 。 

@ 单 击 “ 发 现 ” 按 钮 ,开始 网 络 设备 的 发 现 。 发 现 完成 后 ,显示 图 5-56 所 示 的 “导入 设 
备 ” 页 面 ,在 列表 中 显示 了 所 有 已 发 现 的 设备 。 需 要 注意 的 是 , 某 些 设备 可 能 无 法 识别 其 类 
型 ,此 时 该 设备 将 会 显示 在 Unknown 列表 中 。 
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天 导入 设备 
已 隐 量 所 有 设备 (68) 
IP ead 区 站 .区 站 .ED 站 .ED i Cisco 3640(1) 
加 使 和 CIDR 妾 素 IP @ Fah Cisco 7000 1 
en et 旺 J]. 区 了 J 四 站 Ss GEC9 Catalyst 4006-SW(D) 
Gi 255.255.255.0 - 名 is Cisco Catalyst 650910S(2) 
鱼 ® Unknown(45) 
MAE Public 4 兰 风 性 Wndows 2003(1) 
coolpen 
| 
| 
发 现 | 到 滴 
图 5-55 “发 现 设备 "页 面 图 5-56 “导入 设备 "页面 


@ 单 击 “ 导 入 设备 "按钮, 即 可 将 所 发 现 的 设备 导入 到 设备 列表 中 。 导 入 完成 后 ,显示 
图 5-57 所 示 的 页 面 。 

@ 单 击 “ 发 现 更 多 设备 "按钮 ,可 以 继续 发 现 其 他 网 络 设备 。 单 击 “ 完 成 "按钮 , 即 可 完 
成 发 现 设备 。 

(3) 发 现 指定 设备 

在 发 现 过 程 中 ,由 于 种 种 原因 某 些 设备 可 能 无 法 发 现 ,例如 当 执 行 发 现 网 络 操作 时 , 某 
些 设 备 正 处 于 关机 状态 ,此 时 , 则 不 能 发 现 该 设备 。 为 了 能 够 正常 监视 和 管理 该 设备 ,可 以 
使 用 发 现 指定 设备 的 方法 ,手动 发 现 该 设备 。 

QO 在 管理 窗口 中 的 “发 现 " 选 项 区 域 中 , 单 击 “ 添 加 设备 ”按钮 ,打开 图 5-58 所 示 的 “ 添 
加 设备 ”页面 。 在 “设备 名 /IP 地 址 "文本 框 中 输入 设备 的 IP 地 址 。 在 “网 络 掩 码 " 文 本 框 中 
输入 该 设备 的 子 网 掩 码 。 在 “使 用 凭证 "列表 中 选中 所 要 使 用 的 凭证 对 应 的 复 选 框 。 


导入 设备 

: ree 

设备 添加 成 功 9 2 吾 
ee 回 hene 
口 ee 

口 coolpen 

居 现 更 六 兰 】 元 加 | 于 名 | 取 和 有 | 
图 5-57 导入 设置 完成 图 5-58 “添加 设备 ”页面 


@ 单 击 "添加 设备 "按钮 , 即 可 发 现 设备 并 添加 到 基础 架构 图 中 。 

(4) 管理 和 取消 管理 设备 

默认 情况 下 ,OpManager 管理 所 有 被 发 现 的 设备 ,但 是 有 一 些 已 知 的 设备 正 处 于 维护 
之 中 ,因此 不 能 响应 OpManager 发 出 的 状态 轮 询 。 可 以 将 这 些 设备 设置 为 非 管理 状态 以 避 
免 不 必 要 的 轮 询 。 当 维护 结束 时 ,再 恢复 为 管理 状态 。 

@ 在 OpManager 管理 页 面 中 .将 鼠标 移动 到 “地 图 ”图标 上 .会 自动 显示 图 5-59 所 示 的 
页 面 。 
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基础 架构 图 大 添加 基础 架构 视图 

Servers Routers Switches Desktops Firewalls 
DomainControllers Wireless Printers ups URLs 

北 务 视图 嘱 添 加 业务 视图 

Google 地 图 

网 络 图 嘱 发 现 R 纺 

图 192.168.100.0 


图 5-59 设备 分 类 汇总 信息 


@ 在 页 面 中 , 单 击 所 要 取消 管理 的 设备 分 类 ,例如 这 里 单 击 Desktops 链接 ,显示 图 5-60 

所 示 的 设备 清单 列表 。 
opMonsger 7 - Window mermet Eriorer 二 
区 CT ED CES ET 


疯 必 本 关 | 高 Web Sie Galory > 移 过 RNS ” EE 扬 定 义 轿 接 已) 分 享 到 榨 内 
加 opwanaoe7 号 -上 回 - 梧 吨 、Fmo ”229 IRO 和 ”| 


warener 
馆 OpManager 


192.168.100.0 (Sit: 12) 用 RD 


前 - - 


Manager2003 。 192.168.100.7 192168.10025 ”192.168.10023 192.168.100.19 | 


192.168.100.24 Fles2 192.168.100.10 。 192.168.100.20 


图 5-60 设备 清单 
@ 单 击 想 要 取消 管理 的 设备 图 标 , 显 示 图 5-61 所 示 的 “快照 -Ad-1” 页 面 。 在 “动作 ”下 
拉 菜 单 中 ,选择 “取消 管理 "命令 即 可 取消 管理 所 选 设备 。 当 设备 恢复 后 ,再 次 选择 “动作 ”下 


拉 菜 单 中 的 “管理 ”命令 即 可 。 

6. 在 特定 组 中 导入 设备 

在 某 些 情况 下 ,软件 可 能 无 法 正确 识别 出 设备 类 型 ,例如 将 服务 器 识别 为 普通 工作 站 计 
算 机 。 为 了 能 够 分 类 监视 网 络 设备 ,通常 情况 下 ,需要 手动 检查 所 有 已 发 现 并 导入 到 软件 中 
的 设备 是 否 已 正确 识别 其 类 型 。 这 里 以 在 服务 器 组 中 导入 设备 为 例 进 行 介绍 。 
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收 写 天 | 高 居 Web Sfce Gallery ” 戎 圭 汉 网 站 ” 县 ] 自 直 义 和 接 此] 分 享 到 以 内 
et 芥 - 回 - 口 码 -mm -seg- IRO) 二- ” 


凡 OpManager 


图 5-61 “快照 -Ad-1” 页 面 


(1) 将 鼠标 移动 到 “地 图 ”按钮 上 ,显示 图 5-62 所 示 的 窗口 。 


时 矶 架构 图 呈 坟 基础 呈 要 

Servers Routers Switches Desktops Firewalls 
Domancontrolers Wireless Printers Ups mts 
业务 视 疼 叫 活 加入 图 

Google 四 

网 络 加 2 

FS 图 192.168.100.0 


图 5-62 “地 图 "窗口 

(2) 单 击 Servers 链接 ,显示 图 5-63 所 示 的 Servers 窗口 。 在 “服务 器 "列表 中 ,显示 了 
当前 组 中 所 有 的 设备 。 

(3) 单 击 “导入 "按钮 ,显示 图 5-64 所 示 的 “导入 ”对 话 框 。 在 “可 用 的 设备 ”列表 中 , 选 
中 所 要 导入 该 组 中 的 设备 名 称 ,借助 Ctrl 键 和 Shift 键 ,可 以 选择 多 个 设备 。 单 击 >>| 按 钮 ， 
将 其 添加 到 右 侧 "选择 的 设备 "列表 中 。 

(4) 单 击 “ 立 即 导 入 "按钮 . 即 可 将 所 选 设备 添加 到 Servers 组 中 。 

7. OpManager 监视 Windows 服务 

OpManager 不 仅 可 以 监视 网 络 设备 ,还 可 以 监视 Windows 系统 服务 ,例如 DHCP 服 
务 .DNS 服务 磁盘 管理 .事件 日 志 、FTP 服务 、IAS 服务 IIS 服务 .MySQL 等 。 需要 注意 
的 是 ,如 果 想 要 监视 Windows 服务 ,OpManager 必须 安装 在 Windows 计算 机 上 。 
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Manager2003 192.168.100.25 192.168.100.24 192.168.100.23 


Ss 中 wk) 


192.168.100.20 192.168.100.19 192.168.100.10 


图 5-63 Servers 窗口 


Import pevices 到 
导入 
从 其 它 分 类 中 导入 设备 到 Server 分 委 
BD EL 
] [ . 
192.168.100.7 192.168.100.10 
192.168.100.8 192.168.100.19 
Ad-1 2 192.168.100.20 
| | Hies-1 192.168.100.23 
| Fmes2 cj | 192.168.1002 
| 192.168.100.25 
SA | WERNm | 


图 5-64 “导入 "对话 框 


(1) 创建 Windows 服务 监视 器 

除了 OpManager 集成 的 Windows 服务 监视 器 外 ,还 可 以 根据 需要 创建 自己 特有 的 监 
视 器 。 具 体操 作 步 又 如 下 。 

g@ 在 OpManager 首页 中 , 单 击 “ 管 理 ” 按 钮 。 在 “监视 器 ”选项 区 域 中 , 单 击 “Windows 
服务 监视 器 ”按钮 ,显示 图 5-65 所 示 的 现 有 的 服务 监视 器 列表 。 

@ 单 击 “ 动 作 ” 按 钮 ,在 下 拉 菜 单 中 选择 “新 添 服务 ”命令 ,显示 图 5-66 所 示 的 “添加 
Windows 服务 监视 器 ”页面 。 在 “设备 名 ”文本 框 中 ,输入 Windows 服务 器 的 名 称 。 在 “用 
户 名 ”和 “密码 ”文本 框 中 ,分 别 输入 该 服务 器 的 管理 员 用 户 名 和 密码 。 

回 单 击 “ 下 一 步 "按钮 ,显示 图 5-67 所 示 的 “选择 服务 ”页面 。 在 “选择 服务 "列表 中 , 选 
择 所 要 添加 的 服务 ,借助 Shift 键 和 Ctrl 键 ,可 以 同时 选择 多 个 服务 。 在 “ 当 服 务 不 可 用 时 
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SY 
全 各 | 禽 Web Siee Galcn ”条 理 RES ” 局 白人 X 对 接 上 细 训 am 
全 . 目 - 避 克 、 RED 雪 29”IRO、 和 


赔 OpManager 


mk 全 
Saree mune 


Configure OpManager to montor 
more ngewe seees on ne 
vers 


5-66 “添加 Windows 服务 监视 器 "页面 
执行 以 下 动作 ”选项 区 域 中 ,选择 远程 服务 不 可 用 时 的 操作 ,包括 “重启 服务 "“ 重 启 服 务 器 ” 
和 “无 动作 ”3 个 单 选 按钮 。 
@ 单 击 “ 完 成 "按钮 ,完成 新 的 Windows 服务 监视 器 的 创建 。 
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其 加 Windows 服 务 监视 器 


当 服务 不 可 用 时 所 行 以 下 动作 
© EBA 
重 所用 器 


图 5-67 “选择 服务 ”页面 


(2) 将 Windows 服务 监视 器 应 用 到 服务 器 

因为 OpManager 使 用 WMI 监视 Windows 服务 ,所 以 需要 提供 具有 管理 权限 的 用 户 
信息 。 

g@ 在 OpManager 管理 页 面 中 , 单 击 “ 管 理 ” 按 钮 ,在 “配置 "选项 区 域 中 , 单 击 “ 快 速配 置 
向 导 ” 按 钮 ,显示 图 5-68 所 示 的 “快速 配置 向 导 ” 页 面 。 在 “要 完成 的 任务 ”选项 区 域 中 ,选中 
“为 多 个 设备 新 添 监视 器 (例如 : 传输 监视 器 、 服 务 监视 器 等 )" 单 选 按 钮 。 


快速 配 百 向导 


要 过 万 的 任务 
”为 多 个 设 和 这 加 作乱 搞 吕 (SNMP, WMERDCLI) 

为 儿 个 刘备 指 折 通 知 卫 置 文人 (Email /SMS 等) 
O00 

@ 区 个 设 各 浙 人 省 ( PO ; 传略 视 加 、 服 务 拓 要 等 ) 
OO 关于 件 日 志 抽 则 到 多 个 设备 

”了 E 查 训 各 的 人 和 关系 

加 本- 个 项 下 关联 到 多 个 设备 

© WRs 

0 A 和 


图 5-68 “快速 配置 向 导 " 页 面 


四 单 击 “下 一 步 ?按钮 ,显示 图 5-69 所 示 的 “添加 监视 器 ”页面 。 根 据 需 要 进行 选择 ,这 
里 选中 “选择 要 监控 的 Windows 服务 " 单 选 按钮 。 

图 单 击 * 下 一 步 ?按钮 ,显示 图 5-70 所 示 的 “关联 设备 ”页面 。 根 据 需 要 选择 所 要 添加 
的 服务 名 ,例如 这 里 选中 RPC 单 选 按钮 。 


eo@ 
第 5 章 ”Windows 网 络 服务 管理 169 


服务 吕 关联 系 下 服务 mn 
寺 二 E0Windows 有 和 O Ian 


ND) Ts | 有 | 
图 5-69 “添加 监视 器 ”页面 图 5-70 “关联 设备 "页 面 


@ 单 击 “下 一 步 " 按 钮 ,显示 图 5-71 所 示 的 “选择 服务 "页面 。 在 左 侧 " 没 有 监视 该 服务 
的 设备 "列表 中 ,选择 所 要 关联 的 服务 器 名 称 ,借助 于 Ctrl 键 和 Shift 键 ,可 以 选择 多 个 设 
备 。 然 后 , 单 击 22 按钮 ,将 服务 器 添加 到 右 侧 "监视 该 服务 的 设备 "列表 中 。 


内 澳 计 村 的 这 音 蔡 福 计 服 务 的 说 


图 5-71 “选择 服务 ”页面 


@ 单 击 “ 完 成 ”按钮 ,确认 添加 ,成 功 关联 后 显示 图 5-72 所 示 的 “结果 ”页 面 。 


关联 设备 

结 时 

设备 各 计时 

Fles-l @ Rpc sucressfuly added 
Fles2 @ Rpc successfuly added 
Manager2003 


@ Rpc successfully added 


图 5-72 “结果 "页面 


(3) 查看 Windows 服务 监视 内 容 


在 Servers 窗口 中 , 单 击 想 要 查看 的 服务 器 名 称 ,例如 这 里 单 击 AD-1, 显示 
图 5-73 所 示 的 “快照 -Ad-1” 页 面 。 显 示 服 务 器 监视 信息 的 统计 信息 ,例如 CPU 使 用 率 、 内 
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存 使 用 率 和 磁盘 使 用 率 等 。 在 “监视 器 "选项 卡 中 .显示 了 当前 服务 监视 信息 ,其 中 ,如 果 在 
某 项 服务 的 “状态 ” 列 中 ,显示 痰 图 标 ,说 明 该 服务 最 近 发 出 了 警报 信息 。 


快照 - Ad-1 | 
二 的 评 细 信息 | 设 帮 生 Es 今天 的 可 用 性 应 短 时 间 人 天 的 天 包 素 

atl 回回 ® 四 四 ®@ @®@ 

了 地 址 132.168.100.3 

三 商 Microsoft 

4 Server 站 Mn 

E> Windows 2008 己 ms 

Pr ea Uv UU% 

None 

polUsng IcMp 

监视 2 Mn 

Jose - CPU 全 用 束 内 使 用 车 二 和 全 用 可 

[> i 加 加 加 加 加 四 加 四 

最 逝 的 各 所 


A 十 9 和 文 诈 3 
i] 名 
CE 日 me 
Windows 服 务 藉 视 
各 ahlj OD EP 
Web 


@ ou 


加 Perormmnce 
各 洛神 各 用 针 训 天 为 有 


ae 


图 5-73 “快照 -Ad-1” 页 面 


@ 在 “最 近 的 警报 ”选项 区 域 中 , 单 击 警 报 的 名 称 ,显示 图 5-74 所 示 的 “警报 明细 ”页 
面 。 显 示 该 服务 警报 的 详细 信息 ,包括 重要 度 、 状 态 、 消 息 内 容 等 。 


警报 明细 

lee At 

下 要 放 © service pown 

最 后 Mar 24,2009 05;42:18 PM 

让 Windows NT Service Teinet is Down 
事件 历史 

状态 日 /Na 


Mar 24,2009 05:42:18 PM 
Mar 22,2009 03:26:00 AM 


clear Mar 22,2009 03:25:57 AM 
Attention Mar 22,2009 03:21:08 AM 
@ serice pown Mar 22,2009 03:15:58 AM 
人 clear Mar 22,2009 03:15:58 AM 


Mar 22.2009 03:11:04 AM 
Mar 19,2009 09:12:10 PM 
Mar 13,2009 03:24:08 PM 
Mar 13,2009 03:19:52 PM 


[WE 


光 息 

Windows NT Service Telnet is Down 
FIP Service is pown 

设备 正 合并 有 应 答 

设备 没有 中 订 : 可 能 设备 关闭 了 或 者 设备 大忙 
FIP Service is pown 

Web serviceis Up 

‘Web, FIP services are Down 

Frp Service is Down 

设备 正 党 并 有 应 短 

设备 没有 只 应 : 可 能 设备 关闭 了 或 者 设备 大忙 


图 5-74 “警报 明细 ”页 面 


@ 单 击 “ 确 认 ” 按 钮 ,可 以 确认 该 警报 信息 。 单 击 “ 清 除 ” 按 钮 ,可 以 清除 该 警报 信息 。 


单 击 “ 删 除 ” 按 钮 ,可 以 删除 该 警报 信息 。 
(4) 查询 设备 中 安装 的 软件 


OpManager 可 以 查询 某 个 设备 上 已 安装 软件 的 相关 信息 ,设备 上 安装 的 应 用 


越 多 ,其 


性 能 就 越 低 。 因 此 ,通过 OpManager 的 查询 软件 功能 ,检验 在 某 个 重要 的 服务 器 或 被 管 节 
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点 上 安装 了 不 必要 的 应 用 。 
在 设备 的 快照 页 面 中 , 单 击 “设备 信息 ”按钮 ,在 下 拉 列 表 框 中 选择 “已 安装 的 软件 ” 选 
项 ,显示 图 5-75 所 示 的 “已 安装 的 软件 "窗口 ,显示 当前 设备 上 所 安装 的 软件 。 


三 


安装 时 间 
2008-7-3,16:9:16.0 
2008-3-4,19:28:22.0 
2008-7-3,15:10:42.0 
2008-3-4,19:26;42.0 
2007-12-25,11:5:58.0 
2008-7-3,15:14:8.0 

Broadcom Drivers and Management Applicabons 2007-12-25,11:5:58.0 
8 光 仁 揪 加 吕 8.0 2008-9-11,10:20:12.0 


图 5-75 “已 安装 的 软件 "窗口 


5.5 ”服务 器 群集 


Windows Server 2008 故障 转移 群集 引入 了 新 的 网 络 连接 功能 ,与 昌 群 集中 的 执行 方 
法 相 比 ,这 些 功能 有 了 很 大 转变 ,例如 , Windows Server 2008 故障 转移 群集 引入 了 对 多 子 
网 的 支持 。 


5.5.1 群集 规划 


在 网 络 应 用 中 ,对 于 比较 重要 的 服务 ,如果 在 网 络 中 只 部 署 一 台 服 务 器 , 当 该 服务 出 现 
故障 时 ,会 直接 影响 其 所 提供 服务 的 应 用 。 在 企业 网 络 中 ,文件 服务 器 承担 着 数据 保存 与 安 
全 等 任务 ,对 于 需要 实时 更 新 的 数据 而 言 , 服 务 器 的 稳定 运行 是 必 不 可 少 的 。 此 时 , 则 可 以 
使 用 两 台 以 上 的 服务 器 搭建 服务 器 群集 ,实现 服务 的 无 颖 运行。 在 本 书 的 网 络 环境 中 ,因为 
文件 服务 器 处 于 非常 重要 的 地 位 , 且 需 要 保持 24 小 时 在 线 , 即 需要 通过 配置 文件 服务 器 群 
集 来 保证 文件 服务 器 的 稳定 。 另 外 ,由 于 数据 保存 在 多 个 服务 器 上 ,需要 使 用 分 布 式 文件 系 
统 (DFS) ,在 文件 服务 器 上 提供 一 个 逻辑 访问 点 ,使 网 络 中 的 用 户 在 访问 时 ,只 需要 访问 文 
件 服务 器 中 的 单一 访问 点 ,而 不 需要 在 多 台 服 务 器 间 分 别 访问 。 

部 署 文 件 服务 器 群集 的 两 台 服 务 器 必须 具有 两 块 网 卡 : 一 块 用 于 连接 专用 网 络 (IP 地 
址 设置 为 网 络 中 未 使 用 的 网 络 地 址 段 即 可 ,这 里 设置 IP 地 址 网 络 为 192. 168. 150. 0/24); 
另 一 块 用 于 连接 企业 网 络 (IP 地 址 设置 为 企业 网 地 址 ,这 里 设置 为 服务 器 网 络 段 IP 地 址 
段 , 即 192. 168. 100. 0/26) 。 目 前 ,大 多 数 的 服务 器 都 标 配 了 两 块 网 卡 , 因 此 ,不 再 需要 用 户 
另 备 网 卡 。 
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另外 ,在 开始 部 署 群集 前 ,需要 首先 将 外 部 存储 设备 连接 到 服务 器 ,并 初始 化 存储 设备 。 
因为 在 文件 服务 器 上 会 保存 大 量 的 数据 ,因此 存储 设备 的 空闲 空间 也 是 管理 员 必 须 引起 注 
意 的 问题 。 

群集 安装 前 ,还 应 进行 如 下 准备 操作 。 

(1) 在 群集 节点 上 安装 操作 系统 

先 不 连接 外 置 的 磁盘 阵列 ,在 每 个 节点 的 计算 机 上 安装 Windows Server 2008 操作 系 
统 , 分 别 为 计算 机 指定 名 称 ,为 两 块 网 卡 设置 IP 地 址 信息 。 

安装 完成 之 后 ,关闭 群集 的 每 个 节点 ,并 将 共享 的 磁盘 阵列 连接 到 群集 的 每 个 
节点 。 

(2) 将 群集 升级 到 Active Directory 服务 器 

用 于 实现 群集 的 服务 器 ,都 必须 添加 至 域 ,并 作为 域外 控制 器 。 

(3) 格式 化 群集 使 用 的 磁盘 

除了 由 群集 共享 管理 的 SCSI 阵列 外 ,作为 群集 节点 的 服务 器 还 必须 单独 使 用 一 个 分 
区 用 来 存储 群集 日 志 。 因 此 ,应 当 为 群集 日 志 专门 创建 一 个 容量 为 500MB 的 分 区 ,并 使 用 
NTFS 文 件 系 统 进行 格式 化 。 

然后 ,将 SCSI 阵列 挂 接 到 计算 机 上 ,对 阵列 (在 计算 机 上 表现 为 一 个 磁盘 ) 进 行 初始 化 
操作 ,并 格式 化 为 NTFS 系统 。 

需要 注意 的 是 ,有 的 磁盘 阵列 系统 ,需要 使 用 厂商 提供 的 专用 工具 软件 才能 安装 或 创建 


群集 ,或 者 使 用 专用 的 工具 软件 才能 对 共享 
的 磁盘 阵列 进行 操作 。 浊 浊 


“一 一 客户 端 计算 机 


5.5.2 群集 的 连接 
故障 转移 群集 的 基本 应 用 拓扑 如 图 5-76 
所 示 , 此 时 应 用 程序 服务 器 与 数据 库 服务 器 
直接 连接 ,数据 库 服 务 器 则 直接 与 存储 设备 
应 用 程序 服务 器 


相连 。 当 客户 端 计算 机 访问 应 用 程序 服务 器 
时 ,应 用 程序 服务 器 则 可 以 从 数据 库 服务 器 
中 读 取 数据 。 该 应 用 的 缺点 是 当 数 据 库 服务 数据 库存 储 服务 
器 发 生 故 障 时 ,应 用 程序 服务 器 也 将 不 能 再 
访问 这 些 数据 。 这 个 问题 可 以 通过 部 署 服 
务 器 群集 来 解决 。 客 户 端 计算 机 通过 群集 
发 布 的 虚拟 IP 地 址 和 主机 名 作为 应 用 程序 
使 用 。 图 5-76 基本 应 用 拓扑 


5.5.3 故障 转移 群集 的 软 硬 件 要 求 


实施 群集 服务 ,要求 具有 以 下 硬件 。 
(1) 在 每 个 服务 器 的 启动 分 区 上 .安装 Windows 服务 器 版 本 操作 系统 。 需 要 注意 的 
是 ,不 能 在 服务 器 之 间 共 享 启动 分 区 。 
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(2) 支持 SCSI 或 者 光纤 信道 的 独立 的 存储 适配器 ,用 于 实现 与 共享 存储 设备 的 连接 。 
该 适配器 必须 与 用 于 安装 操作 系统 的 硬盘 控制 器 分 开 。 

(3) 每 个 服务 器 上 都 必须 拥有 两 块 PCI 网 卡 ,分别 用 于 连接 至 专用 网 络 (节点 之 间 的 连 
接 ) 和 企业 网 络 ( 连 接 至 企业 局 域 网 络 ) 。 

(4) 一 个 或 多 个 能 够 连接 所 有 服务 器 的 外 部 驱动 器 。 在 群集 节点 之 间 共 享 这 些 外 部 驱 
动 器 ,一 般 情况 下 ,外 部 驱动 器 是 SCSI 驱动 器 ,并 且 采 用 RAID 技术 ,以 保障 数据 存储 安 
全 ,或 使 用 虚拟 存储 软件 ,达到 类 似 的 功能 。 

(5) 拥有 可 以 将 各 个 外 部 驱动 器 与 服务 器 连接 在 一 起 的 电缆 。 

(6) 每 台 服务 器 的 内 存 `.CPU 和 硬盘 配置 应 当 完 全 相同 。 如 果 节 点 的 配置 较 低 , 没 有 
支持 应 用 程序 的 必要 硬件 ,将 无 法 在 发 生 故 障 时 实现 故障 转移 ,从 而 保证 网 络 服务 的 
连续 、 稳 定 。 因 此 ,群集 中 的 每 个 节点 ,都 应 当 满 足 网 络 服务 正常 运行 所 要 求 的 最 低 
配置 。 

(7) 群集 中 所 有 服务 器 的 全 部 硬件 都 应 当 完全 一 致 ,包括 各 种 适配器 (如 网 卡 、SCSI 
卡 . 显 卡 等 ) 的 插 槽 位 置 、. 板 卡 品牌 ,以 及 与 节点 外 部 驱动 器 连接 的 电缆 。 

在 为 群集 选择 共享 驱动 器 时 ,应 当 考虑 以 下 要 求 。 

(1) 群集 使 用 的 所 有 共享 驱动 器 (包括 为 仲裁 资源 使 用 的 驱动 器 ) 必 须 物理 连接 到 群集 
的 所 有 节点 上 。 

(2) 在 群集 投入 使 用 之 前 ,必须 检验 并 保证 可 以 从 每 个 节点 访问 共享 驱动 器 。 

(3) 在 使 用 SCSI 驱动 器 时 ,每 个 驱动 器 和 每 个 SCSI 适 配器 必须 拥有 唯一 的 
SCSI ID。 

(4) 每 个 共享 磁盘 必须 配置 为 基本 磁盘 ,而 不 是 动态 磁盘 。 

(5) 共享 磁盘 上 的 每 一 个 分 区 必须 使 用 NTFS 文件 系统 进行 格式 化 。 

若 欲 实现 群集 ,还 必须 满足 以 下 网 络 要 求 。 

(1) 每 个 节点 安装 两 块 网 卡 : 一 个 连接 到 企业 网 络 ; 另 一 个 连接 到 专用 网 络 。 

(2) 必须 为 群集 选择 一 个 唯一 的 NetBIOS 名 称 。 客 户 端 使 用 该 名 称 访问 群集 中 的 
资源 。 

(3) 实施 双 节 点 解决 方案 时 ,群集 需要 至 少 5 个 唯一 的 IP 地址。 其 中 ,两 个 地 址 是 专 
用 IP 地 址 ,用 于 节点 之 间 的 通信 ; 两 个 是 企业 网 络 IP 地 址 ,用 于 连接 到 局 域 网 络 。 第 5 个 
地 址 也 是 企业 网 络 IP 地 址 ,由 群集 自己 使 用 。 

(4) 群集 中 的 每 个 节点 必须 配置 为 同一 个 域 的 一 部 分 。 一 个 节点 可 以 是 域 控制 器 ,其 
他 节点 可 以 是 域 成 员 。 如 果 决 定 实施 域 控制 器 ,可 以 使 其 成 为 小 域 的 域 控制 器 ,从 而 减少 系 
统 资 源 开销 。 

(5) 在 与 节点 相同 的 域 中 ,必须 创建 域 用 户 账户 。 可 是 ,如 果 存 在 信任 关系 ,账户 可 以 
驻 留 在 其 他 域 中 。 这 个 账户 由 运行 在 每 个 节点 上 的 群集 服务 使 用 。 

故障 转移 群集 中 的 所 有 服务 器 , 除 安装 Windows Server 2008 操作 系统 外 ,还 需要 以 下 
故障 转移 群集 的 网 络 基础 结构 和 拥有 以 下 域 权限 的 管理 账户 。 

(1) 网 络 设置 和 IP 地 址 : 当 针对 网 络 使 用 相同 的 网 络 适配器 时 ,需要 在 这 些 适 配器 上 
使 用 相同 的 通信 设置 (如 速度 , 双 工 模式 、 流 控制 和 媒体 类 型 )。 另 外 ,还 要 比较 网 络 适 配器 
与 所 连接 的 交换 机 之 间 的 设置 .并 确保 设置 不 发 生 冲 突 。 
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(2) DNS: 群集 中 的 服务 器 必须 使 用 域名 系统 (DNS) 来 进行 名 称 解析 。 可 以 使 用 DNS 
动态 更 新 协议 。 

(3) 域 角色 : 群集 中 的 所 有 服务 器 必须 处 于 相同 的 Active Directory 域 中 。 另 外 ,所 有 
的 群集 服务 器 应 具有 相同 的 域 角色 (成 员 服务 器 或 域 控制 器 ) ,建议 将 所 有 服务 器 的 角色 升 
级 为 域 成 员 服 务 器 。 

(4) 客户 端 : 客户 端 必须 能 够 连接 到 群集 服务 器 ,并 且 必 须 运行 与 群集 服务 器 提供 的 
服务 兼容 的 软件 。 

(5) 用 于 管理 群集 的 账户 : 首次 创建 群集 或 者 向 群集 中 添加 服务 器 时 ,必须 使 用 对 该 
群集 中 所 有 服务 器 具有 管理 员 权 限 的 账户 登录 到 域 。 

注意 : 与 Windows Server 2003 相 比 ,Windows Server 2008 中 群集 服务 运行 的 方式 发 
生 了 变化 。 在 Windows Server 2008 中 ,没有 群集 服务 账户 。 群 集 服务 将 在 一 个 提供 了 服 
务 所 需 的 特定 权限 的 特定 上 下 文中 自动 运行 (与 本 地 系统 上 下 文 相 似 , 但 权限 减少 )。 


5.5.4 部署 存储 服务 


群集 服务 需要 存储 设备 支持 ,这 里 使 用 虚拟 存储 设备 来 代替 SCSI 设备 。 然 后 在 欲 部 

署 故障 转移 群集 的 成 员 服务 器 上 使 用 "iSCSI 发 起 程序 ”连接 到 存储 设备 。 
.节点 服务 器 IP 配置 

群集 系统 包括 两 套 网 络 : 一 套 是 对 外 提供 网 络 服务 的 网 络 ; 另 一 套 是 群集 成 员 服务 器 
间 连接 的 网 络 。 

(1) 每 个 节点 服务 器 上 均 拥有 静态 IP 地 址 ,服务 器 群集 不 支持 使 用 由 动态 主机 配置 协 
议 服务 器 分 配 的 地 址 。 

(2) 每 个 群集 成 员 服 务 器 至 少 必须 拥有 两 个 网 络 适配器 : 一 个 用 于 连接 客户 端的 “内 
部 网 络 测试 "的 网 络 ; 另 一 个 用 于 连接 群集 成 员 服 务 器 对 数据 库 服 务 器 的 网 络 。 

(3) 所 有 节点 服务 器 都 必须 拥有 两 个 面向 公用 和 专用 通信 的 物理 独立 的 局 域 网 或 虚拟 
局 域 网 。 

2， 配置 服务 器 的 iSCSI 存储 服务 

在 群集 服务 中 的 第 一 台 服 务 器 添加 iSCSI 存储 服务 之 前 ,需要 将 该 服务 器 添加 到 
Active Directory 中 ,并 以 域 管理 员 身 份 登录 。 另 外 ,该 服务 器 和 域 控制 器 必须 启用 “网 
络 发 现 " 功 能 。 需 要 注意 的 是 ,如 果 服 务 器 启用 防火 墙 ,将 有 可 能 会 影响 连接 到 存储 
设备 。 

(1) 在 “控制 面板 ”窗口 中 ,双击 “iSCSI 发 起 程序 ” mee 
图 标 ,运行 iSCSI 发 起 程序 。 如 果 是 第 一 次 使 用 “iSCSI 加" 区 丢 sR 站 
发 起 程序 ”, 显 示 图 5-77 所 示 的 Microsoft iSCSI 对 话 [Cam WM | 
框 ,提示 管理 员 iSCSI 服务 没有 运行 ,必须 启动 该 服务 并 
在 以 后 每 次 开机 时 自动 启动 iSCSI 服务 。 

(2) 单 击 “ 是 "按钮 ,显示 图 5-78 所 示 的 对 话 框 ,提示 需要 允许 iSCSI 服务 通过 防火 墙 。 

(3) 单 击 “ 是 "按钮 ,打开 “iSCSI 发 起 程序 属性 ?对 话 框 。 选 择 图 5-79 所 示 的 “发 现 ” 选 
项 卡 。 


图 5-77 Microsoft iSCSI 对 话 框 
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E 


图 5-78 ”提示 需要 允许 iSCSI 服务 通过 防火 墙 图 5-79 “发 现 ?选项 卡 


(4) 单 击 “ 添 加 门户 ”按钮 ,显示 图 5-80 所 示 的 “添加 目标 门户 ”对 话 框 。 在 “IP 地 址 或 
DNS 名 称 ” 文 本 框 中 ,输入 存储 服务 器 的 IP 地 址 或 者 DNS 名 称 。 

(5) 单 击 “确定 ”按钮 ,关闭 “添加 目标 门户 ”对 话 框 ,返回 发现” 选项 卡 ,将 存储 服务 器 
添加 到 “目标 门户 ”列表 中 。 选 择 图 5-81 所 示 的 “目标 "选项 卡 , 在 “目标 ”列表 中 ,显示 在 域 
控制 器 中 创建 的 虚拟 磁盘 。 


| 
行规 | 发 现 。 目标 | 中 出 标 | 痊 设 各 | Ms | 
本 尾 寻 设备 ， 请 过 和 上 杯 并 和 而 “王孙 ”* 


目标 四， 
过 
本 此 人 
了 地 起 或 DIS 名 入 中 端口 中 


Cu]_™ | 


CD | ww 


图 5-80 “添加 目标 门户 ”对 话 框 图 5-81 “目标 ”选项 卡 


(6) 选择 其 中 任何 一 块 磁盘 , 单 击 “ 登 录 ” 按 钮 ,显示 图 5-82 所 示 的 “登录 到 目标 ”对 
话 框 。 选 中 “计算 机 启动 时 自动 还 原 此 连接 " 复 选 框 ,使 计算 机 在 启动 时 自动 连接 到 该 
磁盘 。 

(7) 单 击 “确定 ”按钮 ,关闭 "登录 到 目标 ”对 话 框 , 返 回 到 “目标 ”选项 卡 。 重 复 操作 ,可 
连接 其 他 磁盘 ,如 图 5-83 所 示 。 

(8) 单 击 “ 确 定 ” 按 钮 ,完成 iSCSI 服务 的 设置 。 

(9) 在 “服务 器 管理 器 "窗口 中 ,依次 展开 “服务 器 管理 器 >“ 存储” 一 “磁盘 管理 ”目录 ， 
可 以 查看 已 经 成 功 添加 了 的 磁盘 。 

(10) 碳 击 “磁盘 ?并 在 快捷 菜单 中 选择 “联机 ?命令 ,然后 再 右 击 该 磁盘 并 从 快捷 菜单 中 
选择 “初始 化 磁盘 ”命令 。 此 时 , 即 可 开始 使 用 这 些 磁盘 ,如 图 5-84 所 示 。 

第 二 台 服 务 器 配置 iSCSI 的 方法 与 第 一 台 服 务 器 的 配置 方法 完全 相同 ,具体 操作 这 里 
就 不 再 袭 述 。 
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要 喜 看 该 目标 的 全 笑 、 连接 和 设备 信息 ， 请 单 者 “ 详 是 信息 ”* 
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图 5-82 “登录 到 目标 "对 话 框 图 5-83 成 功 连接 到 磁盘 
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图 5-84 初始 化 磁盘 


5.5.5 安装 故障 转移 群集 功能 


故障 转移 群集 是 Windows Server 2008 的 一 项 单独 功能 ,在 安装 Windows Server 2008 
时 ,故障 转移 群集 作为 可 选 功能 ,需要 管理 员 根 据 需 要 定制 安装 。 在 群集 的 两 台 服务 器 安装 
故障 转移 群集 的 操作 方法 完全 相同 ,这 里 仅 以 第 一 台 服 务 器 为 例 进 行 介绍 。 

(1) 在 “服务 器 管理 器 "窗口 中 ,依次 展开 “服务 器 管理 器 ”>“ 功 能" 目录。 在 右 侧 窗口 
中 , 单 击 “ 添 加 功能 ”按钮 ,显示 图 5-85 所 示 的 “选择 功能 "对话 框 。 在 “功能 ”列表 中 ,选中 
“故障 转移 群集 " 复 选 框 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ,显示 “确认 安装 选择 ”对 话 框 。 单 击 “ 安 装 ” 按 钮 ,开始 安装 故障 
转移 群集 ,安装 完成 ,显示 图 5-86 所 示 的 “安装 结果 ”对 话 框 。 

(3) 单 击 “ 关 闭 ” 按 钮 ,完成 故障 转移 群集 的 安装 。 依 次 选择 “开始 ">" 管理 工具 ”一 “ 故 
障 转 移 群 集 管理 ”命令 ,打开 图 5-87 所 示 的 “故障 转移 群集 管理 ”窗口 。 


图 5-85 “选择 功能 ”对话 框 


图 5-86 “安装 结果 ”对 话 框 


5.5.6 部 署 故障 转移 群集 


与 早期 服务 器 群集 相 比 , Windows Server 2008 提供 群集 部 署 向 导 , 可 以 简单 快捷 地 部 
署 群 集 。Windows Server 2008 的 群集 服务 对 DHCP 服务 .打印 服务 .文件 服务 等 基础 服务 
提供 支持 。 另 外 ,在 Windows Server 2008 中 ,提供 了 完整 群集 部 署 指南 ,可 以 指导 管理 员 
顺利 地 完成 群集 部 署 操作 。 
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图 5-87 “故障 转移 群集 管理 "窗口 


1. 验证 故障 转移 群集 

在 部 署 故 障 转移 群集 前 ,首先 需要 使 用 故障 转移 群集 服务 提供 的 “验证 配置 向 导 ”, 对 当 
前 的 环境 进行 验证 ,只 有 验证 通过 后 才 可 以 开始 部 署 故 障 转移 群集 。 有 具体 操作 步骤 如 下 。 

(1) 在 "故障 转移 群集 管理 ”窗口 中 , 单 击 “验证 配置 "链接 ,启动 “验证 配置 向 导 ”, 显 示 
“开始 之 前 ”对话 框 。 

(2) 单 击 “ 下 一 步 "按钮 ,显示 “请 选择 服务 器 或 群集 ”对 话 框 ,设置 欲 部 署 群集 的 一 组 服 
务 器 。 

(3) 单 击 “ 浏 览 ” 按 钮 ,显示 图 5-88 所 示 的 “选择 计算 机 ”对 话 框 。 在 “输入 对 象 名 称 来 


到 | 
Ed 开始 之 前 


图 5-88 “选择 计算 机 ”对 话 框 
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选择 (示例 ) "文本 框 中 输入 服务 器 的 名 称 , 单 击 “ 检 查 名 称 ” 按 钮 ,检查 所 输入 的 名 称 是 否 正 
确 。 也 可 以 单 击 “ 高 级 "按钮 ,查找 服务 器 。 


(4) 单 击 “确定 ”按钮 ,返回 “请 选择 服务 器 或 群集 ”对话 框 ,将 选择 的 节点 服务 器 添加 到 
“ 选 定 的 服务 器 ?列表 中 ,如 图 5-89 所 示 。 


| 
Ep 请 选择 服务 器 或 群集 


| 村 本 生生 人 
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图 5-89 “请 选择 服务 器 或 群集 "对 话 框 


(5) 单 击 * 下 一 步 "按钮 ,显示 图 5-90 所 示 的 “正在 测试 选项 "对 话 框 。 用 户 可 根据 需要 
选择 所 需 的 测试 方案 ,为 了 能 够 全 面 地 测试 配置 内 容 ,建议 选 中 * 运 行 所 有 测试 (推荐 )" 单 先 
按钮。 

Ey 正在 测试 选项 


Se 


| 


图 5-90 “正在 测试 选项 ”对 话 框 


(6) 单 击 “ 下 一 步 "按钮 ,显示 图 5-91 所 示 的 “确认 ”对 话 框 。 在 中 间 列 表 中 ,显示 了 所 
有 的 测试 内 容 。 

(7) 单 击 “ 下 一 步 ”按钮 , 即 可 开始 测试 选择 的 节点 服务 器 。 测 试 完 成 后 ,显示 图 5-92 所 
示 的 “摘要 ”对 话 框 ,可 以 查看 所 有 的 验证 报告 。 

单 击 “查看 报告 "按钮 ,可 以 查看 详细 的 群集 验证 报告 ,如 图 5-93 所 示 。 


(8) 关闭 Internet Explorer 浏览 器 ,返回 到 “摘要 ”对 话 框 , 单 击 “ 完 成 ”按钮 ,关闭 “ 摘 
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图 5-91 “确认 ”对 话 框 
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图 5-92 “摘要 ”对 话 框 
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图 5-93 详细 的 验证 报告 
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2. 创建 故障 转移 群集 

当 所 有 验证 均 通 过 测试 后 , 即 可 开始 部 署 故 障 转移 群集 。 创 建 故 障 转移 群集 可 以 在 任意 
一 台 成 员 服务 器 上 操作 , 当 创建 完成 后 ,会 自动 同步 到 其 他 服务 器 上 。 具 体操 作 步 又 如 下 。 

(1) 在 “故障 转移 群集 管理 "窗口 中 , 单 击 “创建 一 个 群集 "按钮 ,启动 “创建 群集 向 导 ”， 
显示 图 5-94 所 示 的 “开始 之 前 ”对 话 框 。 


图 5-94 “开始 之 前 "对话 框 


(2) 单 击 “ 下 一 步 " 按 钮 ,显示 “选择 服务 器 ”对话 框 ,添加 要 加 入 群集 的 所 有 服务 器 名 
称 。 具 体操 作 方 法 同 验证 故障 转移 群集 方法 相同 ,这 里 就 不 再 袭 述 ,添加 完成 后 如 图 5-95 
所 示 。 
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图 5-95 “选择 服务 器 "对话 框 


(3) 单 击 “ 下 一 步 ”按钮 ,显示 图 5-96 所 示 的 “用 于 管理 群集 的 访问 点 "对 话 框 。 在 “ 群 
集 名 称 ” 文 本 框 中 输入 群集 的 名 称 。 在 “地 址 ”文本 框 中 输入 群集 使 用 的 IP 地 址 。 

(4) 单 击 “下 一 步 ?按钮 ,显示 图 5-97 所 示 的 “确认 ”对 话 框 。 提 示 已 准备 好 创建 群集 ， 
并 显示 群集 名 称 、 节 点 服务 器 名 称 、 群 集 IP 地 址 等 信息 。 

(5) 单 击 “下 一 步 "按钮 ,启动 群集 配置 进程 ,开始 配置 故障 转移 群集 。 配 置 完成 后 , 显 
示 图 5-98 所 示 的 “摘要 ”对 话 框 ,显示 已 经 成 功 创建 群集 。 单 击 “ 查 看 报告 按钮 ,可 以 查看 
配置 转移 故障 群集 的 详细 过 程 。 
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管理 群集 的 访问 点 
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图 5-97 “确认 "对 话 框 


图 5-98 “摘要 "对 话 框 


(6) 单 击 “ 完 成 "按钮 .完成 群集 的 创建 ,创建 完成 的 群集 被 添加 到 “故障 转移 群集 管理 ” 
控制 台 窗口 中 ,如 图 5-99 所 示 。 
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图 5-99 ”完成 创建 故障 转移 群集 


此 时 , 即 可 在 群集 中 部 署 所 需 的 网 络 应 用 程序 ,例如 DHCP 服务 .打印 服务 ,文件 服务 等 。 
5.5.7 部 署 DFS 服务 器 群集 


借助 于 分 布 式 文件 系统 (DFS) ,可 以 为 网 络 中 的 所 有 共享 文件 提供 一 个 访问 点 和 一 个 
逻辑 树 结构 ,使 分 布 在 多 个 服务 器 上 的 文件 如 同位 于 网 络 上 的 一 个 位 置 一 样 显 示 在 用 户 面 
前 ,而 无 论 这 些 共 享 资源 位 于 网 络 的 什么 地 方 。 而 且 , 还 可 以 将 一 些 文件 同时 放 在 多 台 服 务 
器 内 , 当 用 户 读 取 文 件 时 ,DFS 会 从 不 同 的 服务 器 为 用 户 读 取 数据 ,减轻 一 台 服 务 器 的 负 
担 , 且 即 使 有 一 台 服 务 器 发 生 故障 ,DFS 仍然 可 以 从 其 他 服务 器 正常 读 取 数 据 。 分 布 式 文 
件 系统 在 Windows Server 2008 中 集成 在 文件 服务 中 ,因此 ,为 了 使 用 DFS 需要 在 服务 器 
安装 文件 服务 。 

1. 安装 文件 服务 器 

在 Windows Server 2008 中 ,文件 服务 器 的 安装 主要 是 通过 采用 完全 向 导 的 方式 来 完 
成 。 在 安装 过 程 中 ,用 户 可 以 完成 服务 器 的 一 些 基 本 设置 和 安装 所 需 的 组 件 。 需 要 注意 的 
是 ,在 图 5-100 所 示 的 “选择 角色 服务 "对话 框 中 ,需要 选中 “分 布 式 文件 系统 " 复 选 框 ,具体 
操作 步 又 参见 相关 内 容 , 这 里 就 不 再 袭 述 。 另 外 ,在 安装 文件 服务 过 程 中 ,不 要 配置 DFS 命 
名 空间 。 

2. 配置 DFS 群集 

故障 转移 群集 中 配置 DFS 群集 与 配置 DHCP 服务 器 的 操作 相似 ,这 里 仅 介绍 不 同 的 
操作 步骤 。 

(1) 在 “故障 转移 群集 管理 ”窗口 中 , 右 击 * 服 务 和 应 用 程序 "按钮 ,并 在 快捷 菜单 中 选择 
“配置 服务 或 应 用 程序 ”命令 ,显示 “开始 之 前 ”对 话 框 。 

(2) 单 击 “ 下 一 步 ” 按 钮 ,显示 图 5-101 所 示 的 “选择 服务 或 应 用 程序 ”对 话 框 。 在 “选择 
要 配置 为 高 可 用 性 的 服务 或 应 用 程序 ”列表 中 ,选择 “DFS 命名 空间 服务 器 ?选项 。 需 要 注 
意 的 是 ,当选 择 "DHCP 服务 器 ”选项 时 ,“ 下 一 步 ” 按 钮 并 不 会 立即 显示 为 可 用 状态 ,此 时 向 
导 会 检查 故障 转移 群集 的 相关 配置 , 当 检 查 通过 后 该 按钮 才 会 显示 为 可 用 状态 。 
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图 5-100 “选择 角色 服务 "对 话 框 
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区 生 阳台 和 用 各 序 


和 选择 服务 或 应 用 程序 


| 
图 5-101 “选择 服务 或 应 用 程序 "对 话 框 


(3) 单 击 “下 一 步 "按钮 ,显示 图 5-102 所 示 的 “客户 端 访问 点 ”对 话 框 。 在 "名称 ” 文 本 
框 中 输入 客户 端 用 户 访问 的 DFS 名 称 。 在 “地 址 "文本 框 中 输入 客户 端 用 户 访 问 的 服务 器 
IP 地 址 。 

(4) 单 击 “ 下 一 步 " 按 钮 ,显示 “选择 存储 "对话 框 ,选择 所 要 使 用 的 群集 磁盘 。 

(5) 单 击 “ 下 一 步 "按钮 .显示 图 5-103 所 示 的 “DFS 信息 ”对 话 框 。 在 “命名 空间 名 称 ” 
文本 框 中 输入 DFS 命名 空间 的 名 称 。 

(6) 单 击 “下 一 步 "按钮 ,显示 图 5-104 所 示 的 “确认 ”对 话 框 。 显 示 该 命名 空间 的 详细 
信息 ,包括 共享 、 路 径 、 存 储 、 网 络 名称 和 IP 地 址 。 


图 5-103 “DFS 信息 ”对 话 框 


图 5-104 “确认 ”对 话 框 
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(7) 单 击 “ 下 一 步 ”按钮 .开始 配置 DFS 命名 空间 服务 器 。 配 置 完成 后 ,显示 图 5-105 所 示 
的 “摘要 ”对 话 框 。 


上 
人 DFS 命名 空间 服务 器 
ms 全 和 
各 共享 : coopen tie 

路径 : TDfsRconccolpen-fie 
可 竺 用 性 存 陆 : HS 2 

网 络 名 称 : oopen_prs 

J 地址: 192.168. 100.19 

。 刘 间 击 “ 查 和 报 吉 ”。 


司 
罗 | 
CE 


图 5-105 “摘要 ”对 话 框 


(8) 单 击 “完成 "按钮 ,完成 DFS 文件 分 布 式 系统 的 配置 ,如 图 5-106 所 示 。 
SIE ly 


文件 旭 ” 搞 作 届 亚 看 WD 帮助 加 
和 中 | 六 Im| 日 


图 5-106 完成 DFS 文 件 分 布 式 系统 的 配置 


3. 管理 DFS 

在 故障 转移 群集 中 ,管理 DFS 不 能 使 用 原 有 的 “DFS 管理 器 "进行 管理 ,需要 通过 使 用 
群集 的 “DFS 管理 "窗口 来 实现 。 这 里 以 新 建文 件 夹 为 例 进行 介绍 。 

(1) 在 “故障 转移 群集 管理 "窗口 中 , 单 击 “ 管 理 DFS” 按 钮 ,打开 “DFS 管理 窗口。 

(2) 在 右 侧 “操作 ” 栏 中 , 单 击 “新 建文 件 夹 " 按 钮 ,显示 图 5-107 所 示 的 “新 建文 件 夹 ”对 
话 框 ,在 “名 称 ” 文 本 框 中 输入 文件 夹 名 .这 里 设置 为 software。 

(3) 单 击 “ 添 加 ”按钮 .显示 “添加 文件 夹 目 标 ” 对 话 框 。 

(4) 单 击 “ 浏 览 ” 按 钮 .显示 图 5-108 所 示 的 “浏览 共享 文件 夹 ”" 对 话 框 。 单 击 “ 浏 览 ” 按 
钮 ,显示 “选择 计算 机 ”对 话 框 ,在 “输入 要 选择 的 对 象 名 称 ” 文 本 框 中 输入 计算 机 名 称 , 然 后 
单 击 “ 确 定 ” 按 钮 。 在 “浏览 共享 文件 夹 " 对 话 框 中 ,从 “共享 文件 夹 ”列表 中 选择 欲 添加 的 共 
享 文件 夹 。 重复 操作 可 添加 多 个 文件 夹 。 
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图 5-108 “浏览 共享 文件 夹 ”对话 框 


(5) 依次 单 击 “确定 ”按钮 ,完成 文件 夹 的 创建 ,如 图 5-109 所 示 。 

4. DFS 文件 系统 群集 测试 

支持 DFS 的 客户 端 有 Windows 9x/2000/Me/XP/2003/Vista/2008 等 操作 系统 ,客户 
端 可 以 访问 DFS 内 的 文件 。 可 以 在 客户 端 计算 机 上 使 用 “\\ 服 务 器 名 或 IP 地 址 \ 根 目录 ” 
的 方式 来 访问 DFS 资源 。 

在 资源 管理 器 任务 栏 中 ,输入 \\coolpen_DFS, 按 Enter 键 确 认 , 即 可 访问 该 共享 ,如 
图 5-110 所 示 。 需 要 注意 的 是 , 当 从 网 络 中 访问 时 可 能 需要 用 户 提供 具有 访问 权限 的 用 户 


信息 。 
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图 5-109 ”完成 文件 夹 的 创建 
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图 5-110 访问 共享 


5.6 ”网络 负载 平衡 


Windows Server 2008 中 的 网 络 负载 平衡 CNLB) 功 能 可 以 增强 Internet 服务 器 应 用 程 
序 的 可 用 性 和 可 伸缩 性 ,例如 Web 服务 器 .FTP 服务 器 、 防 火 墙 .代理 服务 器 、 虚 拟 专用 网 
络 (VPN) 以 及 其 他 执行 关键 任务 的 服务 器 上 使 用 的 应 用 程序 。 


5.6.1 


网 络 负载 平衡 规划 


网 络 负载 平衡 是 将 网 络 连接 客户 与 服务 器 应 用 分 布 在 同一 个 NLB 群集 内 的 多 个 服务 
器 上 。 可 以 使 用 户 在 访问 应 用 时 ,通过 网 络 负载 平衡 决定 由 哪 台 服 务 器 响应 ,从 而 实现 分 担 


服务 器 负担 。 


在 本 书 的 网 络 环境 中 ,由 于 Web 服务 器 的 访问 量 比较 大 ,因此 部 署 两 台 Web 服务 
器 ,并 部 署 网 络 负载 平衡 。 其 中 ,两 台 服 务 器 的 卫 地址 分 别 设置 为 192. 168. 100. 7 和 


192. 168. 100. 8 


,网 络 负载 平衡 后 所 使 用 的 IP 地 址 为 192. 168. 100. 10 。 
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5.6.2 网 络 负载 平衡 的 连接 


目前 ,基本 所 有 的 服务 器 都 会 集成 两 块 以 上 的 网 卡 ,使 服务 器 可 以 同时 连接 两 个 不 同 的 
网 络 , 如 图 5-111 所 示 。 

1. 设置 网 卡 属性 

在 每 个 节点 采用 相同 的 方式 安装 和 配置 网 卡 。 通 
常情 况 下 ,每 个 节点 的 每 块 网 卡 的 所 有 属性 都 应 当 设 置 
为 相同 值 ,例如 ,网 卡 应当 设 置 为 网 络 的 实际 速度 ,而 不 
要 将 网 卡 设置 为 自 适应 ,自动 检测 网 络 速 度 。 如 果 允 许 
网 卡 检测 速度 ,一 些 网 卡 会 在 判断 速度 时 丢弃 网 络 数 据 
包 。 所 有 其 他 网 络 属性 ,如 双 工 模式 、 流 控制 和 媒体 类 
型 ,也 应 当 设 置 为 相同 值 。 

2. 选择 网 络 协议 

所 有 网 卡 都 必须 取消 对 NetBIOS over TCP/IP 选 
项 (位 于 WINS 选项 卡 ) 的 选择 ,并 且 使 TCP/IP 协议 成 
为 连接 专用 网 络 网 卡 的 唯一 网 络 协议 。 图 5-111 群集 的 网 络 连 接 

3. 设置 IP 地 址 信息 

正确 设置 专用 和 公用 IP 地 址 信息 ,不 仅 对 支持 客户 端 请 求 至 关 重 要 ,而 且 群 集 服务 也 
使 用 这 些 设 置 在 节点 之 间 发 送 群 集 的 运行 情况 。 公 用 网 卡 响应 客户 端 对 群集 中 网 络 服务 的 
请 求 , 因 此 ,应 当 使 用 与 企业 网 络 相关 的 IP 地 址 。 专 用 适配器 只 用 于 节点 间 的 通信 ,因此 ， 
建议 使 用 保留 的 私有 IP 地 址 。 不 要 使 用 DHCP 为 任何 网 卡 分 配 IP 地 址 ,而 应 当 为 所 有 网 
卡 指定 静态 IP 地 址 信息 。 为 公用 网 卡 和 虚拟 服务 器 选择 的 IP 地 址 ,必须 在 企业 网 络 的 范 
围 内 ,并 被 客户 端 所 访问 。 


5.6.3 安装 网 络 负载 平衡 


在 安装 网 络 负 载 平衡 前 ,必须 配置 使 安装 NLB 的 适配器 上 只 有 TCP/IP 协议 ,不 能 向 
该 适配器 中 添加 任何 其 他 协议 (例如 IPX)。NLB 可 以 将 TCP/IP 协议 用 作 其 网 络 协议 ,并 
且 与 特定 的 传输 控制 协议 (TCP) 或 用 户 数据 报 协议 (UDP) 端 口 相关 联 的 任何 应 用 程序 或 
服务 进行 负载 平衡 。 

(1) 依次 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 "命令 ,打开 图 5-112 所 示 的 “服务 
器 管理 器 "窗口 。 在 左 侧 栏 中 ,选择 “功能 ”选项 。 

(2) 在 右 侧 “ 功 能 "窗口 中 , 单 击 “ 添 加 功能 ”链接 ,显示 图 5-113 所 示 的 “添加 功能 向 导 ” 
对 话 框 。 在 “功能 ”列表 中 ,选中 “网 络 负载 平衡 " 复 选 框 。 

(3) 单 击 “ 下 一 步 " 按 钮 ,显示 “确认 安装 选择 ”对 话 框 。 

(4) 单 击 “安装 "按钮 , 即 可 开始 安装 网 络 负载 平衡 ,安装 完成 后 ,显示 图 5-114 所 示 的 
“安装 结果 ”对 话 框 。 

(5) 单 击 “关闭 ”按钮 ,完成 网 络 负载 平衡 的 安装 。 此 时 , 即 可 通过 使 用 网 络 负载 平衡 管 
理 器 配置 NLB 群集 。 
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图 5-113 “添加 功能 向 导 " 对 话 框 


5.6.4 创建 网 络 负载 平衡 群集 


使 用 网 络 负载 平衡 管理 器 时 ,必须 是 正在 配置 的 主机 上 的 Administrators 组 的 成 员 ,或 
者 被 委派 了 适当 的 权限 的 用 户 。 如 果 通 过 不 属于 群集 的 计算 机 运行 NLB 管理 器 来 配置 群 
集 或 主机 , 则 不 必 是 该 计算 机 Administrators 组 的 成 员 。 

1. 新 建 网 络 负载 平衡 群集 

依次 选择 “开始 ?一 “管理 工具 ?一 “网 络 负载 平衡 管理 器 命令, 即 可 启动 网 络 负载 平衡 
管理 器 。 

(1) 右 击 “网 络 负载 平衡 群集 ”选项 ,在 快捷 菜单 中 选择 “新 建 群集 "命令 ,显示 “新 群集 : 
连接 ”对 话 框 。 在 “主机 ”文本 框 中 输入 欲 添 加 的 主机 的 IP 地 址 。 单 击 “ 连 接 ” 按 钮 , 即 可 开 
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图 5-114 “安装 结果 ”对 话 框 


始 连 接 到 群集 计算 机 ,如 图 5-115 所 示 。 在 “可 用 于 配置 新 群集 的 接口 列表 中 ,显示 该 主机 
可 用 的 网 络 连接 ,并 选择 所 要 使 用 的 网 络 连接 接口 。 


EECETE3 = 对 
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图 5-115 成 功 连接 到 远程 主机 


(2) 单 击 “ 下 一 步 "按钮 ,显示 图 5-116 所 示 的 “新 群集 : 主机 参数 ”对 话 框 。 在 “优先 级 
(单一 主机 标识 符 )” 下 拉 列 表 框 中 ,选择 所 要 使 用 的 某 个 值 。 该 参数 为 每 个 主机 指定 一 个 唯 
一 ID。 在 “上 默认 状态 "下拉 列表 框 中 ,可 以 选择 设置 完成 后 该 群集 的 状态 ,默认 选择 “已 启 
动 ” 选 项 。 如 果 选 中 “在 计算 机 重新 启动 后 保持 挂 起 状态 " 复 选 框 ,可 以 在 群集 计算 机 重新 启 
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动 后 保持 挂 起 状态 ,直到 管理 员 手动 启动 。 

(3) 单 击 “ 下 一 步 " 按 钮 ,显示 “新 群集 : 群集 IP 地 址 ?对 话 框 。 在 该 对 话 框 中 ,根据 需要 
设置 群集 的 每 个 成 员 所 共享 的 群集 IP 地 址 , 即 负载 平衡 时 所 使 用 的 IP 地 址 。 

(4) 单 击 “ 添 加 ”按钮 ,显示 图 5-117 所 示 的 “添加 IP 地 址 ?对 话 框 。 因 为 这 里 只 使 用 
IPv4 地 址 ,所 以 只 能 选中 “添加 IPv4 地 址 " 单 选 按钮 。 在 “IPv4 地 址 ”和 *“ 子 网 掩 码 " 文 本 框 
中 ,分 别 输入 想 要 设置 的 IP 地 址 和 子 网 掩 码 。 
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优先 级 境 一 主机 标识 符 ) @)。 [10 习 笠 入 本 地址 区 ): 
= = Er | 子 取 入 码 
加 
.| 


mt | se es 100 6} 

| SNAG ass a5 zs 1m 
i oo | we. nw | mew 
马 


= mh | 盎 | 


图 5-116 “新 群集 : 主机 参数 "对 话 框 图 5-117 “添加 IP 地 址 ”对 话 框 


(5) 单 击 “ 确 定 " 按 钮 ,返回 “新 群集 : 群集 IP 地 址 ”对 话 框 , 单 击 “ 下 一 步 " 按 钮 ,显示 
图 5-118 所 示 的 “新 群集 : 群集 参数 "对话 框 。 根 据 实际 需要 ,设置 IP 地 址 和 子 网 掩 码 ,在 
“完整 Internet 名 称 ” 文 本 框 中 ,输入 用 户 将 用 于 访问 该 NLB 群集 的 Internet 全 名 。 在 “ 群 
集 操作 模式 ”选项 区 域 中 ,选择 所 要 使 用 的 群集 操作 模式 ,这 里 保持 默认 设置 ,即使 用 “ 单 播 ” 
模式 。 在 单 播 模式 中 ,会 将 群集 的 MAC 地 址 指定 给 计算 机 的 网 络 适配器 ,不 使 用 网 络 适 配 
器 的 内 团 MAC 地 址 。 

(6) 单 击 “下 一 步 "按钮 ,显示 图 5-119 所 示 的 “新 群集 : 端口 规则 ?对 话 框 。 在 该 对 话 框 
中 ,可 以 根据 需要 修改 端口 规则 , 单 击 “ 编 辑 " 按 钮 进行 修改 即 可 ,这 里 保持 默认 设置 。 
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图 5-118 “新 群集 : 群集 参数 "对 话 框 图 5-119 “新 群集 : 端口 规则 ”对 话 框 
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(7) 单 击 “ 完 成 ”按钮 ,完成 设置 。 稍 等 片刻 , 即 可 成 功 创建 群集 ,并 将 该 主机 添加 到 群 
集中 ,如 图 5-120 所 示 。 


网 络 负载 平和 管理 器 = 上 区 
文件 四 群集 主机 四 ， 选 页 帮助 中 
= 吉 和 在 本 大 cslyes_ 05 168 100 I) 的 主机 本 和 信息 
日 Cr 坦 南 理 的 址 上 考 用 下 
EB1 (本 地 连接 ) 已 桶 合 192. 168 100.4 255 255 
一 一 一 下 划 
O001 2009/8/29 10:30.15 J 管理 各 全 笑 已 开始 
De 。 2009/8/29 10:30:16 加 本地 的 
0003 2009/8/29 10:35:29 192.168.... YIN 本 天 更 zh 开始 
0004 2009/8/29 10:35:30 。 192 .188 YEN 守备 持 起 人 所 作 4 
005 2009/8/29 10:38:27 192.1868.... WIR! 更 新 《成 功 【双击 以 了 解 详细 信息 ] i 
1 » 
局 


图 5-120 ”成功 创建 群集 


2， 向 群集 中 添加 主机 

通常 情况 下 ,群集 的 计算 机 可 能 会 有 多 台 , 为 了 使 所 提供 的 服务 更 加 稳定 ,可 能 会 向 群 
集中 添加 更 多 的 主机 。 具 体操 作 步 骤 如 下 。 

(1) 在“ 网络 负载 平衡 管理 器 ”窗口 中 , 右 击 群集 名 称 , 在 快捷 菜单 中 选择 "添加 主机 到 
群集 "命令 ,显示 图 5-121 所 示 的 “将 主机 添加 到 群集 : 连接 "对话 框 。 在 “主机 "文本 框 中 输 
人 想 要 添加 的 主机 IP 地 址 , 单 击 “ 连 接 ” 按 钮 , 即 可 连接 到 该 主机 。 

(2) 单 击 “ 下 一 步 "按钮 ,显示 图 5-122 所 示 的 “将 主机 添加 到 群集 : 主机 参数 ”对 话 框 。 
具体 设置 方法 同 新 建 网 络 负载 平衡 群集 相同 ,这 里 就 不 再 歼 述 。 
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连接 杖 态 
已 连 撞 
本 地 连 搞 2 9. 168. 150.6 
不 地 党 e109. 100.5 Er 
旱 认 状态 ea 习 
厂 在 计算 机 重新 启动 后 保持 桂 起 钛 态 人 DD 
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图 5-121 “将 主机 添加 到 群集 : 连接 "对 话 框 


图 5-122 “将 主机 添加 到 群集 : 主机 参数 ”对 话 框 


(3) 单 击 * 下 一 步 "按钮 ,显示 


图 5-123 所 示 的 “将 主机 添加 到 群集 : 端口 规则 ?对 话 框 。 


根据 需要 进行 设置 即 可 ,这 里 保持 默认 设置 。 
(4) 单 击 “完成 "按钮 .完成 主机 的 添加 ,如 图 5-124 所 示 。 
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Ed 

的 主机 于 依 息 
Ee | 专用 于 地 直 坦 用 下 
1 166 100 5 255 255 
BBS 1 168 100 4 255 255 


O008 。 2009/M29 10:43:20 i92168.,. WEBL 等 全 挂 起 的 樟 作 全 

0009 2009/8/29 10:45:21 从 群集 192 168 100 61 的 主机 “WED coolpen, 
0010 。 2009/a/29 10: 本 :51 192.188.... YEBl 更 新 2 成 功 [双击 以 了 前 洋 妇 信 起， ] 

0 2009/a/29 10:45:51 392 .168 .EBL 下 半 束 


图 5-123 “将 主机 添加 到 群集: 图 5-124 添加 两 台 群 集 服务 器 
端口 规则 ”对 话 框 


5.6.5 配置 网 络 负载 平衡 群集 


通常 情况 下 ,网 络 负载 平衡 需要 根据 不 断 的 变化 修改 配置 ,例如 ,配置 网 络 负载 平衡 的 
参数 ,配置 网 络 负载 平衡 的 工作 模式 .配置 网 络 负载 平衡 的 主机 参数 、 编 辑 网 络 负载 平衡 的 
端口 规则 和 配置 网 络 负载 平衡 的 日 志 设 置 。 

1. 配置 网 络 负载 平衡 群集 参数 

配置 网 络 负载 平衡 群集 参数 时 ,只 需 在 单个 主机 上 进行 配置 。 所 有 主机 将 自动 继承 初 
始 主 机 中 的 群集 配置 ,在 “属性 ”对 话 框 中 设置 的 参数 记录 到 每 个 主机 的 注册 表 中 。 

(1) 在 "网 络 负载 平衡 管理 器 "窗口 中 , 右 击 群集 名 称 , 在 快捷 菜单 中 选择 “群集 属性 ” 命 
令 , 显 示 图 5-125 所 示 的 群集 属性 对 话 框 。 选 择 “ 群 集 IP 地 址 ?选项 卡 ,在 “群集 卫 地址 ” 列 
表 中 ,选中 所 设置 的 虚拟 IP 地 址 , 单 击 “ 编 辑 " 按 钮 ,打开 “编辑 IPv4 地 址 ”对 话 框 ,根据 需要 
修改 IP 地 址 信息 即 可 。 也 可 单 击 “ 添 加 ”按钮 ,添加 其 他 群集 IP 地 址 。 

(2) 单 击 “ 确 定 ” 按 钮 .保存 设置 。 选 择 图 5-126 所 示 的 “群集 参数 ”选项 卡 , 在 "IP 地 址 ” 
下 拉 列 表 框 中 ,根据 需要 选择 所 要 使 用 的 群集 IP 地 址 。 在 “完整 Internet 名 称 ” 文 本 框 中 输 
入 想 要 修改 的 群集 名 称 。 在 “群集 操作 模式 ”选项 区 域 ,根据 需要 选择 所 需 的 模式 。 
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图 5-125 ”群集 属性 对 话 框 图 5-126 “群集 参数 ”选项 卡 
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(3) 选择 图 5-127 所 示 的 “端口 规则 ”选项 卡 , 在 该 选项 卡 中 的 设置 方法 与 前 面 所 述 相 
同 ,这 里 就 不 再 蓉 述 。 

(4) 单 击 “确定 ”按钮 ,保存 设置 。 

2. 配置 网 络 负载 平衡 管理 器 日 志 设 置 

记录 网 络 负载 平衡 管理 器 中 的 事件 与 记录 NLB 驱动 程序 生成 的 事件 有 所 不 同 ,NLB 
管理 器 仅 记录 与 使 用 NLB 管理 器 有 关 的 事件 。 若 要 查看 与 NLB 驱动 程序 有 关 的 事件 , 则 
需要 使 用 “事件 查看 器 ”。 

需要 注意 的 是 ,应 该 始终 从 受信 任 且 安全 的 计算 机 上 管理 NLB 群集 ,尤其 在 启用 事 
件 日 志 记 录 时 更 应 如 此 。NLB 管理 器 日 志文 件 包 含有 关 NLB 群集 和 主机 的 潜在 敏感 信 
息 , 因 此 必须 有 适当 的 安全 保护 。 默 认 情 况 下 ,日 志文 件 继承 创建 其 所 在 目录 的 安全 
设置 。 

在 “网 络 负载 平衡 管理 器 ”窗口 中 ,依次 选择 “选项 -日志 设置 ?选项 ,显示 图 5-128 所 
示 的 “日 志 设 置 ”对 话 框 。 选 中 “启用 日 志 ” 复 选 框 ,在 “日 志文 件 名 ”文本 框 中 输入 日 志文 件 
的 名 称 。 


Cu wm | wh | Cj _™w | 


图 5-127 “端口 规则 "选项 卡 图 5-128 “日志 设置 "对 话 杠 
习题 


1. 简 述 服务 器 群集 的 连接 拓扑 结构 。 
2，Windows 群集 服务 都 有 哪些 软 硬 件 要 求 ? 
3. 简 述 网 络 负载 平 衔 连 接 拓 扑 结构 。 


实验 : 安装 并 配置 DFS 群集 


实验 目的 : 

掌握 Windows Server 2008 服务 器 的 群集 技术 。 

实验 内 容 : 

在 企业 中 企业 网 络 通过 两 台 文 件 服务 器 ,并 使 用 Windows Server 2008 所 提供 的 群集 ， 
将 两 台 服务 器 群集 连 在 一 起 使 用 ,以 提高 网 络 服务 的 稳定 性 。 
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实验 步骤 : 

(1) 将 各 服务 器 分 别 连接 到 局 域 网 交换 机 的 相应 端口 。 
(2) 在 每 个 节点 的 计算 机 上 安装 Windows Server 2008 ,并 将 每 个 节点 均 加 入 到 域 中 。 
(3) 在 两 台 服务 器 上 部 署 存储 服务 。 

(4) 在 Windows 群集 所 有 节点 上 安装 群集 服务 。 

(5) 验证 故障 转移 群集 。 

(6) 创建 故障 转移 群集 。 

(7) 在 各 节点 上 安装 文件 服务 器 。 

(8) 配置 DFS 群集 。 

(9) 管理 DFS 群集 。 

(10) 测试 DFS 文件 系统 群集 。 


网 络 设备 管理 


网 络 设备 主要 是 指 交换 机 、 集 线 器 、 路 由 器 ,防火 墙 等 设备 ,是 组 建 网 络 不 可 或 缺 的 组 成 
部 分 ,其 中 交换 机 是 最 基本 的 网 络 设备 。 在 早期 的 网 络 中 ,所 使 用 的 网 络 设备 多 为 不 可 网 管 
设备 ,例如 通常 所 说 的 傻瓜 交换 机 ,可 随 着 网 络 规 模 的 不 断 扩大 ,以 及 网 络 应 用 的 不 断 发 展 ， 
所 使 用 的 网 络 设备 的 数量 和 种 类 也 越 来 越 多 ,为 了 满足 网 络 的 要 求 , 可 网 管 网 络 设备 开始 在 
网 络 中 使 用 。 使 用 可 网 管 网 络 设备 ,能 够 使 网 络 功 能 发 挥 到 最 大 ,并 最 大 限度 地 保证 网 络 的 
安全 。 


6.1 网 络 设备 管理 规划 


网 络 设备 是 各 种 设备 连接 的 基础 ,其 中 因为 网 络 设备 所 处 的 位 置 的 不 同 , 设 备 的 重要 性 
也 有 所 不 同 ,但 相同 的 是 所 有 的 设备 都 需要 管理 员 进 行 管理 。 只 有 保证 设备 的 正常 运行 , 才 
能 保证 设备 所 连接 的 其 他 设备 正常 连接 网 络 。 


6.1.1 项 目 背景 


在 当前 网 络 中 ,所 有 的 网 络 设备 ,例如 路 由 器 、 交 换 机 、 安 全 设备 和 无 线 设 备 等 均 使 用 
Cisco 的 产品 ,并 且 所 有 的 设备 均 使 用 可 网 管 的 网 络 设备 , 即 所 有 设备 均 可 进行 配置 ,以 实 
现 不 同 的 功能 及 应 用 。 正 因为 在 当前 网 络 中 所 有 的 设备 都 是 Cisco 设备 ,因此 ,对 于 网 络 设 
备 的 管理 实际 上 主要 是 管理 Cisco 产品 。 

6.1.2 项 目 需求 

所 有 的 可 网 管 设备 在 出 厂 时 都 已 经 有 初始 配置 ,但 这 些 配置 是 远 远 不 能 满足 需求 的 , 因 
此 ,管理 员 必 须根 据 当 前 网 络 的 要 求 对 网 络 设备 进行 进一步 配置 。 当 进一步 配置 完成 后 , 即 


可 根据 需要 选择 不 同 的 管理 方式 ,并 可 对 网 络 设备 进行 备份 和 恢复 等 操作 。 另 外 ,为 了 设备 
的 安全 运行 ,还 应 实时 地 对 网 络 设备 进行 监控 和 配置 。 


6.1.3 解决 方案 


对 于 当前 网 络 中 设备 的 管理 需求 ,可 使 用 如 下 方案 解决 。 
(1) 对 于 网 络 设备 的 初始 配置 通常 可 采用 超级 终端 方式 或 Web 方式 实现 ,对 于 初始 配 
置 而 言 , Web 方式 显然 要 比 超级 终端 方式 简捷 方便 。 而 对 于 日 常 管理 , 则 可 以 选择 超级 终 
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端 \Telnet、Web 和 网 管 软件 中 的 任何 一 种 方式 ,此 时 所 选择 的 管理 方式 的 原则 是 方便 、 
安全 。 

(2) 当 设备 配置 完成 后 ,为 了 能 够 在 设备 发 生 故 障 或 其 他 问题 时 使 用 相同 的 配置 ,可 以 
将 当前 的 配置 文件 进行 备份 ,对 于 Cisco 设备 而 言 ,可 以 在 网 络 中 安装 TFTP 服务 器 实现 配 
置 文件 的 备份 与 恢复 。 

(3) 当 设备 的 密码 丢失 时 ,无 论 是 交换 机 还 是 路 由 器 ,都 需要 使 用 超级 终端 方式 直接 连 
接 设备 的 Console 端口 完成 。 

(4) 使 用 CiscoWorks LMS 可 以 使 网 络 管理 人 员 通 过 Web 页 面 的 方式 直观 、 方 便 、 快 
捷 地 完成 设备 的 配置 .管理 ,监控 和 故障 分 析 等 任务 。 


6.2 ”网络 设 备 管理 方式 与 适用 


因为 网 络 设备 通常 没有 键盘 等 输入 设备 ,也 没有 显示 器 等 输出 设备 ,因此 ,需要 借助 其 
他 方式 对 其 进行 管理 。 在 购买 到 一 台新 设备 时 ,首先 需要 使 用 超级 终端 对 其 进行 基本 设置 ， 
此 后 , 即 可 使 用 Telnet 或 SecureCRT 远程 登录 到 设置 上 进行 管理 。 另 外 ,还 可 以 通过 使 用 
Web 方 式 和 网 管 软件 方式 等 进行 远程 管理 。 需 要 注意 的 是 ,在 Windows Vista 和 Windows 
Server 2008 中 ,默认 不 安装 Telnet 工具 ,需要 手动 安装 。 


6.2.1 超级 终端 方式 


超级 终端 是 Windows 系统 自 带 的 一 个 程序 ,使 用 该 程序 可 以 连接 到 其 他 计算 机 、 
Telnet 站 点 、 公 告 板 系 统 (BBS) 、 联 机 服务 和 主机 。 在 Windows XP 系统 中 ,默认 已 经 安装 
了 超级 终端 ,而 在 Windows Server 2003 系统 下 , 则 需要 管理 员 手 动 安装 该 组 件 。 

(1) 依次 选择 “开始 ”一 “控制 面板 ”一 “添加 /删除 程序 ”命令 ,打开 图 6-1 所 示 的 “添加 
或 删除 程序 ”对 话 框 。 

(2) 在 左 侧 栏 中 , 单 击 “ 添 加 /删除 Windows 组 件 ” 按 钮 ,显示 图 6-2 所 示 的 “Windows 
组 件 向 导 ” 对 话 框 。 在 “组 件 * 列 表 中 ,选中 “附件 和 工具 " 复 选 框 。 
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图 6-1 “添加 或 删除 程序 ”对 话 框 图 6-2 “Windows 组 件 向 导 ” 对 话 框 


(3) 单 击 “ 详 细 信 息 ” 按 钮 ,显示 图 6-3 所 示 的 “附件 和 工具 ”对 话 框 。 在 “附件 和 工具 的 
子 组 件 " 列 表 中 ,选中 “通讯 " 复 选 框 。 


第 6 章 “网 络 设备 管理 


(4) 单 击 “ 详 细 信 息 ” 按 钮 ,显示 图 6-4 所 示 的 “通讯 ”对 话 框 。 在 “通讯 的 子 组 件 ” 列 表 
中 ,选中 “超级 终端 " 复 选 框 。 


| EE 
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图 6-3 “附件 和 工具 "对 话 框 图 6-4 “通讯 "对 话 框 


(5) 连续 单 击 “ 确 定 ” 按 钮 ,返回 "Windows 组 件 向 导 ” 对 话 框 ,然后 单 击 " 下 一 步 ” 按 钮 ， 
即 可 将 超级 终端 组 件 安装 到 计算 机 。 需 要 注意 的 是 ,在 安装 过 程 中 ,需要 用 户 插入 
Windows Server 2003 安装 光盘 ,才能 正常 安装 完成 。 安 装 完成 后 ,显示 图 6-5 所 示 的 “完成 
“Windows 组 件 向 导 ”'” 对 话 框 。 

(6) 单 击 “ 完 成 ”按钮 , 即 可 完成 安装 。 

在 使 用 超级 终端 建立 与 交换 机 的 通信 之 前 ,必须 先 对 超级 终端 进行 必要 的 设置 。 

(1) 依次 选择 “开始 ”>“ 所 有 程序 >“ 附件 ”一 “通讯”>“ 超 级 终端 "命令 ,显示 图 6-6 所 示 
的 “默认 Telnet 程序 ”对 话 框 。 提 示 是 否 将 超级 终端 作为 默认 Telnet 程序 ,在 这 里 根据 实际 
需要 进行 设置 即 可 。 


完成 “Windows 组 件 向 导 ” 


息 忆 成功 地 完成 了 Findows 姐 促 交 导 。 


要 天 用 此 朵 对 ,请 间 者 “元 三 ”。 let 程序 。 要 这 笠 人 中 7 


厂 请 下 要 两 同 这 个 凤 题 o) 
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图 6-5 “完成 “Windows 组 件 向 导 ” "对 话 框 图 6-6 “默认 Telnet 程序 ”对 话 框 


(2) 单 击 “ 是 ”按钮 ,显示 图 6-7 所 示 的 “位 置信 息 ” 对 话 框 。 在 “目前 所 在 的 国家 (地 
区 )”" 下 拉 列 表 框 中 ,选择 “中 华人 民 共 和 国 ”选项 。 在 “您 的 区 号 (或 城市 号 ) 是 什么 ”文本 框 
中 ,输入 当前 计算 机 所 在 的 地 区 区 号 ,例如 0311 代表 石家庄 。 在 “您 拨 外 线 需要 先 拨 哪 个 号 
码 " 文 本 框 中 ,输入 需要 设置 的 号 码 。 

(3) 单 击 “确定 ”按钮 ,显示 图 6-8 所 示 的 “电话 和 调制 解 调 器 选项 对话 框 。 在 该 对 话 
框 中 ,显示 了 前 面 所 进行 的 设置 。 

(4) 单 击 “ 确 定 ” 按 钮 ,显示 图 6-9 所 示 的 “连接 描述 ”对 话 框 。 在 “名 称 ”文本 框 中 输入 
该 连接 的 名 称 , 如 Cisco, 用 于 标识 与 Cisco 交换 机 的 连接 。 
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图 6-7 “位 置信 息 ” 对 话 框 图 6-8 “电话 和 调制 解 调 器 选项 "对 话 框 


(5) 单 击 “ 确 定 ” 按 钮 ,显示 图 6-10 所 示 的 “连接 到 ”对 话 框 。 在 “连接 时 使 用 ”下 拉 列 表 
框 中 选择 所 使 用 的 串 行 口 ,通常 为 COM1 。 

(6) 单 击 “确定 "按钮 ,显示 图 6-11 所 示 的 “COMI 属性 ”对 话 框 。 在 “每 秒 位 数 ” 下 拉 列 
表 框 中 选择 9600, 其 他 各 选项 采用 默认 值 即 可 。 


ee 了 


厂 性 琶 访 于 失 Q) 
忆 全 有 BF. OE IANES 0 
FF ATE 


CE | me | | 
图 6-9 “连接 描述 "对 话 框 图 6-10 “连接 到 ”对话 框 图 6-11 “COMI 属性 "对话 框 


注意 : 不 同 品牌 的 交换 机 和 路 由 器 对 “数据 流 控制 "参数 的 要 求 不 同 , 例 如 华为 产品 为 
“无 ”, 而 Cisco 产品 则 为 “硬件 ”, 因 此 ,应 当 查 看 产品 配置 和 使 用 手册 。 

(7) 单 击 “ 确 定 ” 按 钮 ,显示 图 6-12 所 示 的 “cisco- 超 级 终端 "窗口 。 

(8) 打开 交换 机 电源 后 ,连续 按 Enter 键 , 即 可 显示 交换 机 初始 界面 。 图 6-13 所 示 为 
Cisco 4006 交换 机 初始 页 面 。 
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图 6-12 “cisco- 超 级 终端 "窗口 6-13 Cisco 4006 交换 机 初始 页 面 
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计算 机 与 交换 机 连接 成 功 之 后 ,就 可 以 以 菜单 (Menus) 方 式 或 命令 行 (Command Line) 
方式 对 交换 机 进行 配置 和 管理 了 。 

注意 : 如 果 在 计算 机 屏幕 上 未 能 显示 交换 机 的 启动 过 程 , 则 可 能 是 通信 端口 选择 错误 ， 
需 重新 配置 超级 终端 。 当 然 ,也 有 可 能 是 Console 线 或 连接 有 问题 ,应 当 逐 一 进行 检查 。 


6.2.2 Telnet 方式 


Telnet 是 集成 在 Microsoft TCP/IP 协议 中 的 一 项 网 络 服务 ,利用 Telnet 协议 为 虚拟 
终端 提供 一 个 标准 的 端口 ,用 户 不 必 了 解 终 端 设备 的 详细 信息 即 可 建立 连接 ,另外 ,Telnet 
还 为 用 户 和 终端 设备 提供 一 个 协商 选项 的 机 制 和 一 组 标准 选项 。 目 前 大 多 数 网 络 设备 的 管 
理 和 配置 都 是 通过 这 种 方式 进行 的 ,如 网 络 服务 器 的 更 新 .路 由 器 的 配置 .网 络 防 火 墙 的 配 
置 等 。 

1，Telnet 的 工作 过 程 

Telnet 程序 主要 包括 Telnet 客户 端 程序 和 Telnet 服务 器 程序 两 部 分 ,分 别 运行 于 本 
地 计算 机 和 远程 终端 设备 上 。 

其 中 ,本 地 计算 机 上 的 Telnet 客户 端 程序 主要 完成 如 下 功能 。 

(1) 建立 本 地 计算 机 与 服务 器 端的 TCP 连接 。 

(2) 接收 由 本 地 计算 机 键盘 输入 的 信息 ,并 转换 成 标准 格式 发 送 给 远程 服务 器 端 。 

(3) 从 远程 服务 器 接收 输出 的 信息 。 

(4) 将 信息 显示 在 本 地 计算 机 的 屏幕 上 。 

远程 终端 上 的 服务 器 端 主要 负责 完成 如 下 功能 。 

(1) 通知 发 送 请 求 信息 的 计算 机 ,终端 设备 已 经 准备 就 绪 , 等 待 输入 命令 。 

(2) 执行 输入 的 命令 ,如 显示 目录 内 容 或 执行 某 个 应 用 程序 等 。 

(3) 将 执行 命令 的 结果 送 回 到 主机 的 输出 设备 上 。 

(4) 等 待 执行 新 的 命令 。 

通过 使 用 Telnet 程序 ,可 以 很 轻松 地 在 远程 终端 上 完成 网 络 设备 的 管理 与 配置 ,从 而 
减少 了 很 多 管理 网 络 设备 的 麻烦 。 

2. Telnet 的 常用 参数 

Telnet 命令 最 多 的 应 用 是 直接 使 用 “Telnet 十 远程 主机 名 ”或 “Telnet 十 IP 地 址 ”连接 到 
对 方 默认 的 端口 上 ,而 很 少 应 用 各 种 参数 选项 ,其 实 Telnet 命令 也 是 拥有 多 个 用 于 实现 不 
同 功 能 的 可 选 参数 的 ,通过 输入 telnet-? 命令 查看 常用 参数 ,如 图 6-14 所 示 。 

3. Windows Vista/2008 安装 Telnet 组 件 

在 Windows Vista/2008 系统 中 ,默认 情况 下 ,Telnet 组 件 并 没有 随 系统 安装 到 计算 机 
上 ,如 果 此 时 使 用 Telnet 客户 端 程序 ,将 显示 图 6-15 所 示 的 窗口 。 提 示 Telnet 不 是 内 部 或 
外 部 命令 , 即 需 要 用 户 安装 该 组 件 。 

在 Windows Vista 安装 Telnet 组 件 ,. 具 体 的 操作 步骤 如 下 。 

(1) 依次 选择 “开始 ”一 “控制 面板 ”命令 ,显示 图 6-16 所 示 的 “控制 面板 ”窗口 。 

(2) 双击 “程序 和 功能 ”图标 , 显 示 图 6-17 所 示 的 “和 印 载 或 更 改 程序 ”窗口 。 在 该 窗口 
中 ,显示 了 当前 计算 机 中 所 安装 的 所 有 程序 。 
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(3) 在 左 侧 栏 中 , 单 击 “打开 和 关闭 Windows 功能 ”按钮 ,显示 图 6- 
选中 “Telnet 客户 端 " 复 选 框 , 即 安装 Telnet 客户 端 。 
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图 6-17 


“ 印 载 或 更 改 程序 "窗口 


“Windows 功能 ”窗口 
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(4) 单 击 “ 确 定 ” 按 钮 , 即 可 安装 并 配置 Telnet 客户 端 。 

注意 : 与 Windows Vista 所 不 同 的 是 ,在 Windows 2008 系统 下 安装 Telnet 组 件 , 需 要 
在 “服务 器 管理 器 "窗口 的 添加 功能 列表 中 ,添加 Telnet 组 件 。 

4. 利用 Telnet 实现 远程 登录 
了 TCP/IP 协议 就 相当 于 安装 了 Telnet 服务 ,但 是 在 Windows 系统 中 该 服 
禁止 运行 的 ,所 以 如 果 是 使 用 Telnet 远程 管理 网 络 服务 器 就 必须 先 启动 该 项 系 
统 服务 ， 或 者 使 用 其 他 已 经 开放 的 端口 也 可 以 (Telnet 默认 使 用 23 端口 ,并 且 该 端口 是 关 
闭 的 ) 。 

首先 在 本 地 计算 机 上 打开 命令 提示 符 窗口 ,输入 如 下 命令 : 


telnet 172.16.100.1 

按 Enter 键 运行 , 即 可 显示 图 6-19 所 示 的 连接 界面 ,提示 输入 登录 到 远程 主机 的 有 效 
用 户 名 和 密码 。 由 于 是 维 和 主机 的 系统 信息 ,可 使 用 系统 管理 员 的 用 户 名 登录 ,以 获得 
更 高 的 配置 权限 。 如 果 登 录 到 的 是 远程 x 换 机 或 者 路 由 器 ,使 用 系统 默认 的 用 户 名 和 密码 
即 可 。 另 外 ,在 输入 登录 密 码 时 谍 特 别 迷 在 输入 密码 时 ,不 会 以 任何 形式 显示 
根本 没有 输入 任何 字符 一 样 , 所 以 应 尽量 保证 输入 的 准确 性 。Telnet 最 多 允许 用 户 尝 试 登 
县 10 次 ,超出 10 次 则 自动 断 开 与 远程 主机 的 连接 

提示 : 输入 用 户 名 之 后 按 Enter 键 即 可 开始 输入 登录 密码 ,再 次 按 Enter 键 即 可 尝试 登录 。 

成 功 登 录 到 远程 主机 后 ,显示 图 6-20 所 示 的 界面 ,现在 就 可 以 像 在 对 方 系统 中 一 样 进 
行 操作 了 ,可 以 执行 各 种 系统 命令 .启动 /关闭 应 用 程序 .传输 文件 等 ,如 果 登 录用 户 名 拥有 
足够 的 权限 ,还 可 以 关闭 ,注销 或 者 重新 启动 远程 主机 


[>=] 


图 6-19 登录 远程 主机 图 6-20 登录 成 功 


5. Telnet 的 主要 功能 

借助 Telnet 登录 到 远程 终端 只 是 
现 对 远程 终端 设备 系统 信息 查看 .配置 

《1 在 看 系统 信息 

查看 网 络 设 备 系统 信息 是 最 基本 的 操作 ,也 是 必须 掌握 的 技术 ,在 对 网 络 设备 进行 配置 
前 ,首先 要 了 解 设备 本 身 的 一 些 重要 系统 信息 ,例如 登录 到 远程 服务 器 ,首先 要 查看 该 服务 


达到 目的 过 程 中 的 一 个 重要 环节 ,利用 Telnet 可 以 实 
信息 查看 、 备 份 和 恢复 设置 系统 等 内 容 。 
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器 的 一 些 详细 信息 ,操作 系统 版 本 (使 用 type c:\boot. ini 命令 即 可 )、 系 统 配置 、 安 装 了 什么 
软件 或 服务 等 ,只 有 这 样 才 能 发 现 系统 究竟 存在 哪些 漏洞 ,需要 做 什么 进一步 处 理 。 如 果 是 
登录 到 远程 路 由 器 或 者 交换 机 , 则 会 自动 显示 其 系统 信息 ,包括 其 当前 设备 类 型 名称、 生产 
厂家 ,操作 系 统 版 本 等 。 

(2) 使 用 TFTP 传输 文件 

传输 文件 是 管理 远程 网 络 设备 的 一 项 重要 工作 ,例如 远程 路 由 器 的 配置 信息 
备份 和 更 新 ,都 是 通过 Telnet 将 配置 好 的 信息 备份 到 本 地 计算 机 上 ,出 现 问题 需要 恢复 时 
再 通过 Telnet 传输 过 去 。 

用 TFTP(Trivial File Transfer Protocol) 传 送 文 件 是 一 种 基于 UDP 连接 的 文件 传输 
方式 ,一 般 是 使 用 Windows 自 带 的 tftp. exe 和 一 个 TFTP 服务 器 端 软件 (可 以 到 Internet 
下 载 , 许 多 都 是 免费 的 ) 构 成 一 个 完整 的 传输 结构 。 首 先 将 需要 传输 的 配置 文件 保存 到 
TFTP 服务 器 软件 所 在 的 目录 下 ,然后 运行 本 地 的 TFTP 服务 器 端 ( 比 如 tftpd32. exe) 软 件 
并 保证 始终 开启 直至 传输 全 部 完成 。 接 着 在 登录 成 功 的 Telnet 窗口 中 ,执行 图 6-21 所 示 
的 命令 , 即 可 查看 TFTP 命令 的 帮助 信息 。 


中 要 经 党 


图 6-21 传输 文件 


提示 : TFTP 命令 的 完整 格式 如 下 
TFTP [i] [host] [{GET | PUT)}] [source] [destination] 


各 参数 的 含义 如 下 。 
Q@ -i: 指定 二 进 制图 像 传送 模式 (也 称 为 八进制 模式 )。 在 二 进 制 图 像 模式 下 ,文件 以 
-个 字 节 为 单位 进行 传输 ,在 传送 二 进 制 文件 时 使 用 该 模式 。 如 果 省 略 了 -i, 文 件 将 以 默认 

的 ASCII 模式 传送 。 该 模式 将 行 尾 (EOL) 字 符 转换 为 指定 计算 机 的 适当 格式 ,传送 文本 文 
件 时 使 用 该 模式 ,如 果 文 件 传送 成 功 ,将 显示 数据 传输 速率 

@) host: 指定 本 地 计算 机 或 远程 计算 机 :注意 本 例 中 应 当 是 本 地 主机 地 址 。 

@ GET: 将 远程 计算 机 上 的 文件 传送 到 本 地 计算 机 指定 的 目录 下 。 由 于 本 例 中 已 经 
使 用 Telnet 登录 到 了 远程 终端 ,相当 于 在 远程 终端 设备 上 操作 ,所 以 使 用 GET。 

@ PUT: 将 本 地 计算 机 上 的 文件 传输 到 远程 终端 中 ,由 于 TFTP 协议 不 支持 用 户 身 份 
验证 ,所 以 用 户 必须 使 用 Telnet( 或 其 他 方式 ) 登 录 到 远程 计算 机 ,并 获取 一 定 的 控制 权限 。 
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@ source: 指定 要 传送 的 文件 。 

@ destination: 指定 将 文件 送 达 的 位 置 ,如果 省 略 了 destination, 将 假定 它 与 source 具 
有 相同 名 称 。 

注意 : 如 果 使 用 代理 服务 器 ,将 不 能 实现 与 外 部 网 络 的 文件 传送 。 因 为 代理 网 关 在 进 
行 数据 封装 的 时 候 会 自动 将 自己 的 IP 地 址 加 入 到 数据 报 中 ,代替 内 部 网 络 地 址 ,所 以 在 外 
部 网 络 进行 MAC 寻 址 时 是 找 不 到 正在 运行 的 TFTP 服务 器 的 ,因此 造成 传输 失败 。 


6.2.3 Web 方式 


当 使 用 Console 端口 为 交换 机 设置 好 IP 地 址 信息 并 启用 HTTP 服务 后 , 即 可 通过 支 
持 Java 的 Web 浏览 器 访问 交换 机 ,并 可 通过 Web 浏览 器 修改 交换 机 的 各 种 参数 并 对 交换 
机 进行 管理 。 与 Telnet 冷冰冰 的 纯 字 符 界面 相 比 , Web 的 图 形 化 界面 则 要 友好 得 多 ,操作 
起 来 自然 也 就 更 加 简单 方便 。 通 过 Web 界面 ,可 以 对 交换 机 的 许多 重要 参数 进行 修改 和 设 
置 ,并 可 实时 查看 交换 机 的 运行 状态 。 

在 利用 Web 浏览 器 访问 交换 机 之 前 ,应 当 确认 已 经 做 好 以 下 准备 工作 。 

(1) 在 用 于 管理 的 计算 机 中 安装 TCP/IP 协议 ,并 且 在 管理 用 计算 机 和 被 管理 的 交换 
机 上 都 已 经 配置 好 IP 地 址 信息 。 

(2) 用 于 管理 的 计算 机 中 安装 有 支持 Java 的 Web 浏览 器 ,如 Internet Explorer 4. 0 及 
以 上 版 本 、Netscape 4.0 及 以 上 版 本 ,以 及 Oprea with Java。 

(3) 在 被 管理 的 交换 机 上 建立 了 拥有 管理 权限 的 用 户 账户 和 密码 。 

(4) 被 管理 交换 机 的 Cisco IOS 支持 HTTP 服务 ,并 且 已 经 启用 了 该 服务 。 和 否则 ,应当 
通过 Console 端口 升级 Cisco IOS 或 启用 HTTP 服务 。 

在 计算 机 上 运行 Web 浏览 器 ,并 连接 至 被 管理 交换 机 的 操作 步骤 如 下 。 

(1) 运行 支持 Java 的 Web 浏览 器 。 

(2) 在 地 址 栏 中 输入 被 管理 交换 机 的 IP 地 址 (如 
172. 16. 100. 4) 或 为 其 指定 的 域名 ,然后 按 Enter 键 ,显示 图 6-22 
所 示 的 对 话 框 。 

(3) 分 别 在 “用 户 名 ”和 “密码 ”文本 框 中 ,输入 拥有 管理 权 
限 的 用 户 名 和 密码 。 用 户 名 . 密码 应 当 事 先 通 过 Console 端口 
进行 设置 。 一 

(4) 单 击 “ 确 定 ” 按 钮 ,建立 与 被 管理 交换 机 的 连接 ,Web 图 6-22 用 户 确认 
浏览 器 中 显示 交换 机 的 管理 页 面 。 图 6-23 所 示 的 Cisco 
Catalyst 3750-E 的 Web 管理 界面 。 

(5) 通过 Web 界面 查看 交换 机 的 各 种 参数 和 运行 状态 ,并 可 根据 需要 对 交换 机 的 某 些 
参数 做 必要 的 修改 。 


6.2.4 网 管 软件 方式 


使 用 网 管 软件 对 网 络 进行 网 络 管理 工作 ,可 以 使 管理 更 加 轻松 ,针对 于 不 同 的 管理 需求 
可 以 使 用 不 同 的 网 管 软件 ,例如 Cisco 推出 的 管理 Cisco 交换 机 的 Cisco CNA (Cisco 
Network Assistant) ,管理 Cisco 路 由 器 的 Cisco SDM (Cisco Router and Security Device 
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图 6-23 Web 管理 界面 


Manager) ,以 及 用 于 管理 Cisco 自 适应 安全 设备 管理 器 的 ASDM( Adaptive Security Device 
Manager) 等 。 另 外 ,还 可 以 使 用 一 些 综合 性 的 网 管 软件 对 网 络 设备 进行 管理 ,例如 HP 
OpenView、CiscoWorks LMS 等 。 


6.3 ”网 管 前 的 准备 


所 有 的 网 络 设备 在 出 厂 前 都 进行 了 初始 化 配置 ,但 仅 使 用 这 些 配置 是 远 远 不 能 达到 网 
络 的 使 用 要 求 的 , 且 因 为 所 有 的 设备 的 初始 值 相同 或 相似 ,将 为 日 常 管理 中 带 来 不 便 , 所 以 ， 
为 了 能 够 正常 管理 网 络 设备 ,需要 根据 管理 要 求 对 设备 进行 相应 的 配置 。 

6.3.1 交换 机 网 管 配置 

在 第 一 次 配置 交换 机 时 ,应 当 指 定 IP 地 址 信息 和 名 称 ,以 便 对 该 交换 机 进行 远程 管理 。 
男 外 ,还 应 当 为 交换 机 指定 新 的 管理 密码 。 交 换 机 默认 配置 如 表 6-1 所 示 。 

表 6-1 交换 机 默认 配置 


特 征 默认 配置 特 征 默认 配置 
IP 地 址 和 子 网 掩 码 无 Telnet 密码 无 
默认 网 关 无 群集 命令 交换 机 未 启用 
Enable Secret 密码 无 群集 名 称 无 
主机 名 Switch 


如 果 没 有 使 用 Web 方式 对 交换 机 进行 初始 化 ,那么 ,仍然 可 以 借助 以 下 操作 ,通过 
Console 端口 实现 对 交换 机 的 初始 化 配置 。 
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(1) 进入 全 局 配置 模式 。 

Switch# configure terminal 

(2) 为 交换 机 指定 新 的 主机 名 ,便于 网 络 管理 员 标 识 和 区 分 不 同 的 交换 机 。 
Switch(config) # hostname name 


(3) 为 特权 模式 指定 新 的 密码 。 建 议 指 定 6 位 以 上 的 密码 ,并 同时 包括 大 小 写 英文 字 
母 和 数字 。 


Switch(config) # enable password password 

(4) 进入 Line 配置 模式 ,配置 Telnet 远程 登录 。 
Switch(config)# line vty 0 15 

(5) 为 Telnet 指定 新 的 密码 。 

Switch(config-line) # password password 

(6) 进入 Line 配置 模式 ,配置 Console 端口 。 
Switch(config) # line console 0 

(7) 为 Console 端口 连接 指定 新 的 密码 。 


Switch(config-line)# password password 


(8) 为 该 交换 机 指定 默认 网 关 。 通 常情 况 下 ,汇聚 交换 机 和 接 入 交换 机 的 默认 网 关 就 
是 核心 交换 机 的 管理 IP 地址 。 


Switch(config)# ip default-gateway ip_address 


(9) 进入 VLAN 1。 交 换 机 的 管理 VLAN 为 VLAN 1, 因 此 ,为 交换 机 指定 IP 地 址 信 
息 时 ,必须 进入 VLAN 1 中 进行 配置 。 


Switch(config)# interface vlan 1 

(10) 为 该 交换 机 指定 IP 地 址 和 子 网 掩 码 。 
Switch(config-if) # ip address ip_address subnet_mask 
(11) 激活 并 启用 VLANI1。 

Switch(config-if) # no shutdown 

(12) 返回 全 局 配置 模式 。 

Switch(Cconfig-if) # exit 

(13) 启用 HTTP 服务 。 


Switch(config) # ip http server 
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(14) 返回 特权 配置 模式 。 
Switch(config) # exit 

(15) 校 验 输 入 的 信息 是 否 正 确 。 
Switch# show running-config 


(16) 保存 配置 。 如 果 不 保存 ,在 交换 机 重新 启动 时 ,修改 的 配置 将 丢失 。 


Switch# copy running-config startup-config 


6.3.2 路 由 器 网 管 配置 

路 由 器 作为 最 重要 的 网 络 设 备 之 一 ,其 配置 和 管理 是 每 个 网 络 管理 员 所 关注 的 。 路 由 
器 的 管理 与 一 般 计 算 机 或 者 服务 器 的 管理 完全 不 同 ,路 由 器 的 管理 和 设置 不 当 将 直接 影响 
到 整个 网 络 的 正常 运转 ,甚至 还 可 能 会 坦 下 网 络 管理 的 安全 隐患 。 不 同 品牌 的 路 由 器 的 配 
置 方法 也 是 不 一 样 的 ,所 以 操作 之 前 应 该 参照 相应 路 由 器 配置 手册 。 在 将 路 由 器 添加 至 企 
业 网 络 前 ,必须 先 对 路 由 器 做 一 些 最 基本 的 配置 ,以 启用 最 基本 的 路 由 功能 ,并 实现 远程 
管理 。 

(1) 当 系统 显示 如 下 信息 时 ,输入 no, 将 进入 CLI 配 置 模式 。 

Would you like to enter the initial configuration dialog? [yes/no]: no 


(2) 按 Enter 键 ,停止 自动 配置 ,并 开始 手动 配置 。 


Would you like to terminate autoinstall? [yes] Return 
Several messages are displayed，ending with a line similar to the following: 


Copyright (c) 1986-2002 by cisco Systems，Inc. 
Compiled date time by person 


(3) 按 Enter 键 , 显 示 Router 二 提示 符 。 


flashfs[4] : Initialization complete. Router> 


(4) 进入 特权 配置 模式 。 


Router> enable 
Router# 


(5) 进入 Enable 模式 , 当 提 示 符 改变 为 Router# 时 ,输入 口令 。 


Router>enable 
Password: <password> 
Router# 


(6) 进入 全 局 配置 模式 , 按 Ctrl 十 Z 键 可 退出 该 模式 。 


Router# configure terminal 


Router(config)# 
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(7) 为 该 路 由 器 设置 一 个 有 意义 的 名 字 , 以 取代 默认 的 名 称 Router。 


Router(config)# hostname xxxx 
XXXX(config) # 


(8) 输入 新 的 秘密 口令 password, 该 口令 用 于 进入 特权 命令 模式 。 当 用 户 在 Router 二 提 
示 符 下 输入 enable 时 ,必须 以 该 口令 进行 校 验 ,以 防止 未 经 授权 的 用 户 修改 路 由 器 的 设置 。 


Router(Cconfig) # enable secret password 

(9) 进入 Line 配置 模式 ,配置 Telnet 远程 登录 。 
Switch(config)# line vty 0 15 

(10) 为 Telnet 指定 新 的 密码 。 

Switch(config-line) # password password 

(11) 进入 Line 配置 模式 ,配置 Console 端口 。 
Switch(config) # line console 0 

(12) 为 Console 端口 连接 指定 新 的 密码 。 
Switch(config-line) # password password 

(13) 指定 局 域 网 接口 ,该 接口 直接 连接 到 局 域 网 。 
Switch(config) # interface interface-id 

(14) 指定 局 域 网 接口 的 IP 地 址 和 子 网 掩 码 。 
Switch(config-if) # ip address ip_address subnet_mask 
(15) 指定 广域网 接口 ,该 接口 连接 到 其 他 网 络 或 Internet 。 
Switch(config)# interface interface-id 

(16) 指定 广域网 接口 的 IP 地 址 和 子 网 掩 码 。 
Switch(config-if) # ip address ip_address subnet_mask 
(17) 返回 全 局 配置 模式 。 

Switch(config-if) # exit 

(18) 启用 HTTP 服务 。 

Switch(config)# ip http server 

(19) 启用 IP 路 由 。 

Switch(config)# ip route 

(20) 将 所 有 对 外 部 的 访问 都 路 由 至 广域网 或 Internet 接口 。 


Switch(config) # ip route 0.0.0.0 0.0.0.0 wan-interface-id 
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(21) 返回 特权 配置 模式 。 

Switch(config)# exit 

(22) 校 验 输 入 的 信息 是 否 正确 。 

Switch# show running-config 

(23) 保存 配置 。 如 果 不 保存 ,路 由 器 重新 启动 时 ,修改 的 配置 将 被 丢失 。 
Switch# copy running-config startup-config 

(24) 退出 全 局 配置 模式 。 


Router# exit 
Router> 


(25) 尝试 以 新 口令 重新 进入 。 


Router> enable 

Password: password 

Router# 

此 时 , 即 可 借助 Telnet 等 方式 远程 登录 至 该 路 由 器 进行 管理 。 通 常情 况 下 ,从 内 部 网 
络 访问 路 由 器 时 ,使 用 局 域 网 接口 的 IP 地 址 ; 从 外 部 网 络 访 问 路 由 器 时 ,使 用 广域网 接口 
的 IP 地 址 。 


6.3.3 安全 设备 网 管 配置 


默认 情况 下 ,新 购买 的 安全 设备 没有 进行 任何 设置 ,如 果 欲 使 用 Cisco ASDM 管理 安全 
设备 ,需要 首先 对 安全 设备 进行 初始 化 。 

1. 开始 前 的 准备 

在 开始 运行 Startup Wizard( 启 动向 导 ) 之 前 ,首先 需 执行 下 述 操作 。 

(1) 获得 一 个 DES 许可 证 或 3DES-AES 许可 证 。 

提示 :运行 ASDM ,必须 拥有 自 适应 安全 设备 的 DES 许可 证 或 3DES-AES 许可 证 。 

(2) 在 Web 浏览 器 启用 Java and JavaScript。 

(3) 搜集 下 列 信息 。 

QO 在 网 络 中 能 够 识别 自 适应 安全 设备 的 主机 名 。 

@ 外 部 接口 .内 部 接口 和 其 他 接口 的 IP 地 址 信息 。 

@ 用 于 NAT 或 PAT 配置 的 IP 地 址 信息 。 

@ DHCP 服务 器 的 IP 地 址 范围 。 

2. 使 用 Startup Wizard 

ASDM 使 用 Startup Wizard 简单 地 初始 化 自 适应 安全 设备 。 只 需 很 少 的 几 个 步骤 , 启 
动向 导 就 可 以 启用 自 适应 安全 设备 .实现 数据 在 内 部 接口 (GigabitEthernet0/1) 和 外 部 接口 
(GigabitEthernet0/0) 的 安全 传输 。 

(1) 如 果 是 ASA 5520 或 ASA 5540, 使 用 跳 线 将 入 口 GigabitEthernet0/1 连接 到 交换 
机 或 其 他 集 线 设 备 。 如 果 是 ASA 5510, 使 用 跳 线 将 入 口 Ethernet 1 连接 到 交换 机 或 其 他 


第 6 章 网 络 设备 管理 


集 线 设备 。 然 后 ,在 同一 台 交 换 机 上 连接 管理 用 计算 机 ,实现 对 自 适应 安全 设备 的 配置 。 

(2) 配置 计算 机 使 用 DHCP 方式 ,将 自动 从 自 适应 安全 设备 获得 IP 地 址 信息 。 需 要 注 
意 的 是 ,如 果 安 全 设备 与 计算 机 是 通过 交换 机 进行 连接 ,在 交换 机 所 连接 的 网 络 中 不 应 再 包 
括 其 他 DHCP 服务 器 。 

提示 : 这 里 将 自 适 应 安全 设备 的 内 部 接口 默认 指定 为 211. 82. 216. 166。 

(3) 如 果 是 ASA 5520 或 ASA 5540, 检 查 GigabitEthernet0/1 接口 的 LINK LED 指示 
灯 。 如 果 是 ASA 5510, 则 检查 Ethernet 1 接口 的 LINK LED 指示 灯 。 当 连接 正常 时 ,相应 
接口 的 LINK LED 指示 灯 应 当 呈 绿色 。 

(4) 运行 Startup Wizard 启动 向 导 。 在 配置 计算 机 上 运行 Web 浏览 器 ,在 “地 址 ” 栏 中 
输入 Gufs.// 211. 82. 216.166/, 并 按 Enter 键 。 

(5) 单 击 Run ASDM 按钮 ,显示 图 6-24 所 示 的 Cisco ASDM Launcher 窗口 。 根 据 需 
要 分 别 输入 安装 设备 的 IP 地址 、 用 户 名 和 密码 ,默认 情况 下 密码 为 空 。 

(6) 单 击 OK 按钮 ,显示 图 6-25 所 示 的 “警告 -安全 性 ”对 话 框 ,提示 需要 安装 数字 证 书 。 


天 
轧 En AS Lun cess 


be 是 而 入 近来 目 Web 站 点 211.82.216 165 
的 汪 节 ,以便 Y 执 加 玖 生息 了 


Dewee Phadessihame 司 的 人 
Usemame: 人 
et 证 二 :21182216166 
sd ph 克明 比 风 是 安生 从 ,因果 人 性 211.82215166 
各 报 此 内 容 ， 
Cg Cse 
ET 


Pete Xs dons naTeavspasennrts ea 


图 6-24 Cisco ASDM Launcher 窗口 图 6-25 “警告 -安全 性 ?对话 框 


(7) 单 击 “是 ?按钮 ,ASDM 即 可 启动 。 
(8) 依次 选择 Wizards 一 Startup Wizard 命令 ,运行 安装 向 导 。 根 据 启 动向 导 中 的 提 
示 , 设 置 自 适应 安全 设备 。 


6.3.4 无 线 设 备 网 管 配置 


使 用 无 线 局 域 网 控制 器 附带 的 Console 线 , 将 计算 机 的 串 行 端口 连接 至 无 线 局 域 网 控 
制 器 的 Console 端口 ,启用 超级 终端 建立 彼此 之 间 的 连接 。 
(1) 将 控制 器 连接 至 电源 ,打开 控制 器 背 板 上 的 电源 开关 。 
(2) 使 用 CLI 界面 观察 引导 过 程 。 引 导 脚 本 显示 操作 系统 软件 初始 化 和 基本 配置 ,大 
致 内 容 如 下 。 
Bootloader 3.4.0.0. (Jun 2 2008-15:07:12) 
Motorola PowerPC ProcessorID= 00000000 Rev. PVR=80200020 
Cisco Systems INC., 4400 Wireless LAN Switch Board 
CPU: 833 MHz 
CCB: 333 MHz 


DDR: 166 MHz 
LBC: 41 MHz 
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区 过 


Device 1: not available 
ootinp, Pinany Tdpge 
Press <ESC> now for additional boot options... 


(3) 如 果 需 要 , 按 Esc 键 显示 引导 选项 菜单 。 


Boot Options 

Please choose an option from below: 
1. Run primary image 

2. Run backup image 

3. Manually update images 

4. Change active boot image 

5. Clear Configuration 

Please enter your choice: 


输入 “1” 运 行当 前 的 软件 映像 ,输入 *2” 运 行 较 早 前 的 软件 映像 ,输入 “5 运行 当前 的 软 


件 映像 并 将 控制 器 配置 恢复 至 出 厂 默认 状态 。 在 没有 专家 指导 的 情况 下 ,不 推荐 输入 “3” 
或 “4”。 


Detecting Hardware ... 


(4) 整个 引导 过 程 大 致 持续 2 一 3 分 钟 , 在 用 户 登 录 提示 符 出 现 之 间 , 请 勿 重新 引导 控 


制 器 。 


午 。 


Cisco is a trademark of Cisco Systems, Inc. 
Software Copyright Cisco Systems, Inc. All rights reserved. 


Cisco AireOS Version 3.4.0.0 
Initializing OS Services: ok 
JInitializing Serial Services: ok 
Initializing Network Services: ok 


Starting Management Services: 
Web Server: ok 
CLI: ok 
Secure Web: ok 


(5) 如 果 控 制 器 完成 加 电 自 检 , 引 导 脚 本 运行 开始 向 导 ,提示 用 户 进行 控制 器 的 基本 配 
为 控制 器 输入 系统 名 称 ,最 多 32 个 ASCII 字符 。 
(6) 如 果 想 要 使 控制 器 的 服务 端口 从 DHCP 服务 器 获得 IP 地 址 ,输入 dhcp。 如 果 不 


想 使 用 服务 端口 ,或 者 想 为 服务 端口 指定 IP 地 址 时 ,输入 none。 


注意 : 服务 端口 的 IP 地 址 必须 与 和 AP-manager 接口 位 于 不 同 的 子 网 。 
(7) 如 果 在 第 6 步 中 输入 none, 输 入 服务 端口 的 IP 地 址 和子 网 掩 码 。 为 管理 端口 输入 


IP 地 址 、 子 网 掩 码 和 网 关 IP 地 址 ,并 选择 VLAN ID。 


注意 : VLAN ID 的 设置 应 当 与 交换 机 接口 配置 相 匹配 。 
(8) 输入 用 于 为 无 线 客 户 端 分 配 IP 地 址 的 DHCP 服务 器 的 IP 地 址 ,控制 器 管理 接口 


的 IP 地 址 ,以 及 服务 端口 的 卫 地 址 (可 选 ) 。 


(9) 输入 控制 器 AP-manager 接口 的 IP 地 址 。 
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AP-manager 接口 使 用 三 层 安 全 机 制 在 控制 器 和 轻型 无 线 AP 之 间 通 信 。 必 须 使 用 独 
一 无 二 的 IP 地 址 ,并 且 通 常 与 管理 接口 配置 相同 的 VLAN 或 子 网 ,但 是 ,该 配置 并 非 必需 。 
如 果 AP-manager 接口 与 管理 接口 位 于 相同 的 子 网 ,两 者 将 使 用 同一 DHCP 服务 器 的 全 地 址 。 

(10) 输入 控制 器 虚拟 接口 的 IP 地 址 ,将 被 用 于 所 有 控制 器 三 层 安 全 和 移动 管理 。 应 
使 用 一 个 没有 被 指定 过 的 IP 地 址 ,如 1. 1.1.1。 

注意 : 虚拟 接口 用 于 支持 移动 管理 .DHCP 中 继 和 嵌入 式 三 层 安 全 。 处 于 同一 移动 组 
的 所 有 控制 器 都 必须 为 虚拟 接口 配置 相同 的 IP 地 址 。 

(11) 如 果 需 要 ,输入 控制 器 欲 归 属 其 中 的 移动 组 /RF 组 的 名 称 。 

(12) 输入 网 络 名 称 或 SSID(Service Set Identifier) 。 

(13) 输入 yes 允许 客户 端 指定 自己 的 IP 地址。 输入 no 则 客户 端 向 DHCP 服务 器 请 
求 分 配 IP 地 址 。 

(14) 配置 RADIUS 服务 器 。 输 入 Yes, 并 指定 RADIUS 服务 器 IP 地 址 、 通 信 端 口 和 
机 密 密 钥 。 输 入 no, 不 指定 RADIUS 服务 器 。 

(15) 输入 国家 代码 。 输 入 help, 可 显示 国家 代码 列表 。 

(16) 输入 Yes, 启 用 RRM 自动 RF 功能 。 输入 no, 则 禁用 该 功能 。 

(17) 控制 器 保存 配置 .重新 引导 后 ,提示 用 户 重新 登录 。 输 入 有 效 的 用 户 名 和 密码 , 登 
录 控 制 器 CLI 界 面 。 显 示 如 下 提示 符 。 


#(system prompt)> 


6.4 ”配置 和 映像 文件 的 备份 与 恢复 


TFTP(Trivial File Transfer Protocol) 服 务 器 可 实现 交换 机 或 交换 机 软件 系统 的 保存 
和 升级 .配置 文件 的 保存 和 下 载 ,使 得 对 交换 机 和 交换 机 的 管理 变 得 简单 和 快捷 。 因 此 ,在 
进行 交换 机 和 交换 机 的 管理 前 ,应 先 安装 一 台 Cisco TFTP 服务 器 。TFTP 服务 器 软件 可 
在 Cisco 网 站 (http://www. cisco. com/) 下 载 。 任 何 一 台 计算 机 只 要 安装 有 TFTP 服务 器 
软件 , 即 可 成 为 TFTP 服务 器 。 


6.4.1 配置 文件 的 备份 与 恢复 


网 络 设备 的 系统 文件 和 配置 文件 都 可 以 像 计算 机 之 间 复 制 文件 一 样 互相 复制 。 无 论 是 
上 传 还 是 下 载 文件 ,都 必须 在 操作 终端 上 安装 TFTP 软件 ,将 其 配置 成 为 TFTP 服务 器 。 

1. 将 配置 文件 备份 至 TFTP 

利用 上 传 的 配置 文件 ,不 仅 可 以 快速 恢复 原 有 交换 机 的 配置 ,而 且 还 可 用 于 快速 配置 其 
他 交换 机 ,减少 配置 的 劳动 强度 ,提高 工作 效率 。 

在 将 配置 文件 上 传 至 TFTP 服务 器 之 前 ,确认 已 经 完成 以 下 工作 。 

(1) 确认 已 经 安装 了 一 台 TFTP 服务 器 。 

(2) 确认 交换 机 能 够 与 TFTP 服务 器 正常 通信 .交换 机 和 路 由 器 必须 位 于 同一 子 网 。 

(3) 在 上 传 映像 之 前 ,可 能 需要 在 TFTP 服务 器 上 创建 一 个 空 的 文件 。 

(4) 如 果 覆 盖 一 个 已 经 存在 的 文件 (包括 空 文件 ,如 果 已 经 创建 ) ,确认 赋予 了 相应 的 权 
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限 , 即 赋予 其 world-write 权限 。 
然后 ,将 配置 文件 上 传 至 TFTP 
(1) 通过 Console 端口 或 Telnet 登录 至 交换 机 ,如 图 6-26 所 示 。 


图 6-26 登录 交换 机 


运行 copy running-config tftp 命令 ,将 配置 文件 上 传 至 TFTP 服务 器 。 在 提示 符 
下 ,指定 TFTP 服务 器 的 IP 地址 或 主机 名 ,以 及 目的 文件 名 ,如 图 6-27 所 示 。 配 置 文件 将 
被 上 传 至 TFTP 服务 器 


画 Telnet172100 


454 bytes copied in 2.836 secs 《513 bytes/sec) 


Buitchile 


图 6-27 上 传 配 置 文件 


在 Cisco TFTP Server 窗口 , 即 可 显示 上 传 的 具体 信息 ,如 图 6-28 所 示 


国 Cisco TFTP Server (172.100100 2) - CAProgram Flles\Cisco Systems\Cisco TFTP Server LT 一 
Ele Edt Yiew Help 

|2| ?| 

i Me DD 0 7 0 Re wh orig tie hon T7210 TO0 0 mw inary ae 


Tha May 29 09.17.06 2008: successful 


IReady NUM 


图 6-28 Cisco TFTP Server 窗口 


eo@ 


第 6 章 “网 络 设备 管理 


2. 从 TFTP 恢复 配置 文件 

在 从 TFTP 服务 器 下 载 配置 文件 前 ,确认 已 经 完成 以 下 工作 。 

(1) 确认 已 经 安装 了 一 台 TFTP 服务 器 。 

(2) 确认 交换 机 能 够 与 TFTP 服务 器 正常 通信 ,交换 机 和 路 由 器 必须 位 于 同一 子 网 。 

(3) 确认 配置 文件 被 下 载 至 服务 器 的 适当 目录 。 

(4) 确认 文件 被 设置 了 world-read 权限 。 

然后 ,从 TFTP 服务 器 下 载 配 置 文件 。 

(1) 将 配置 文件 复制 至 TFTP 服务 器 的 适当 目录 。 

(2) 通过 Console 端口 或 Telnet 登录 至 交换 机 。 

(3) 运行 copy tftp running-config 命令 ,利用 从 TFTP 服务 器 下 载 的 配置 文件 配置 交 
换 机 。 指 定 TFTP 服务 器 的 全 地址 或 主机 名 ,以 及 下 载 文 件 的 文件 名 。 配 置 文件 被 
下 载 。 


6.4.2 ”映像 文件 的 备份 与 恢复 


映像 文件 是 指 网 络 设 备 的 系统 文件 , 即 通常 所 说 的 IOS。 映 像 文 件 是 网 络 设备 正常 启 
动 的 保证 。 如 果 网 络 设备 没有 映像 文件 则 不 能 启动 。 

1. 备份 系统 软件 映像 

在 将 软件 映像 上 传 至 TFTP 服务 器 之 前 ,确认 已 经 完成 以 下 工作 。 

(1) 确认 已 经 安装 了 一 台 TFTP 服务 器 。 

(2) 确认 交换 机 能 够 与 TFTP 服务 器 正常 通信 ,交换 机 和 路 由 器 必须 位 于 同一 子 网 。 

(3) 在 上 传 映像 之 前 ,可 能 需要 在 TFTP 服务 器 上 创建 一 个 空 的 文件 。 

(4) 如 果 覆 羡 一 个 已 经 存在 的 文件 (包括 空 文件 ,如 果 已 经 创建 ) ,确认 赋予 了 相应 的 权 
限 , 即 赋予 其 world-write 权限 。 

然后 ,使 用 TFTP 服务 器 上 传 软 件 映像 。 

(1) 通过 Console 端口 或 Telnet 登录 至 交换 机 。 

(2) 使 用 copy flash tftp 命令 ,将 软件 映像 上 传 至 TFTP 服务 器 。 在 提示 符 下 ,指定 
TFTP 服务 器 地 址 和 目的 文件 名 。 系 统 映 像 将 被 上 传 至 TFTP 服务 器 。 

2. 恢复 或 升级 系统 软件 映像 

使 用 TFTP 服务 器 ,可 以 通过 网 络 将 系统 软件 映像 文件 下 载 到 交换 机 ,该 映像 文件 将 
会 被 下 载 至 超级 引擎 的 Flash 内 存 中 。 在 Flash 内 存 中 可 以 保存 多 个 映像 文件 。 

在 使 用 TFTP 下 载 软件 系统 映像 前 ,确认 已 经 完成 下 述 工作 。 

(1) 确认 已 经 安装 了 一 台 TFTP 服务 器 。 

(2) 确认 交换 机 能 够 与 TFTP 服务 器 正常 通信 ,交换 机 和 路 由 器 必须 位 于 同一 子 网 。 

(3) 确认 软件 映像 被 下 载 至 TFTP 服务 器 适当 的 目录 中 。 

(4) 确认 文件 的 访问 许可 设置 正确 。 

(5) 确认 提供 了 不 间断 电源 。 

然后 ,使 用 TFTP 下 载 超级 引擎 映像 。 

(1) 将 软件 映像 复制 至 TFTP 服务 器 适当 的 目录 。 

(2) 通过 Console 端口 或 Telnet 登录 至 交换 机 。 如 果 使 用 Telnet 登录 交换 机 ,那么 ， 
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当 交换 机 运行 新 软件 而 重新 启动 时 ,将 断 开 连 接 。 

(3) 使 用 copy tftp flash 命令 从 TFTP 服务 器 下 载 软件 映像 。 在 提示 符 下 输入 TFTP 
服务 器 的 IP 地 址 或 主机 名 ,以 及 下 载 的 文件 名 。 交 换 机 将 从 TFTP 服务 器 下 载 映像 文件 ， 
并 将 映像 复制 至 引导 闪存 。 

(4) 使 用 set boot system flash device:filename prepend 命令 修改 BOOT 变量 值 , 当 交 
换 机 重新 启动 时 , 使 用 新 的 映像 引导 。 指 定 Flash 设备 (Device) 和 下 载 的 映像 文件 
名 (Filename) 。 

(5) 使 用 reset system 命令 重新 启动 交换 机 。 如 果 使 用 Telnet 连接 至 交换 机 ,那么 ,该 
Telnet 进程 将 断 开 连 接 。 

(6) 当 交换 机 重新 引导 后 ,输入 show version 命令 检查 交换 机 上 的 编码 版 本 。 


6.4.3 映像 文件 的 版 本 与 选择 


Cisco IOS 是 思科 公司 的 网 络 操作 系统 ,是 一 个 为 网 际 互联 优化 的 复杂 的 操作 系统 ,其 
性 质 类 似 于 局 域 操作 系统 (NOS) ,如 Novell 的 NetWare。1IOS 是 一 个 与 硬件 分 离 的 软件 体 
系 结构 , 随 着 网 络 技术 的 不 断 发 展 , 可 动态 升级 以 适应 不 断 变化 的 技术 。 在 实际 使 用 中 , 需 
要 根据 需要 选择 所 使 用 的 IOS 版 本 。 实 际 上 ,Cisco 已 经 提供 了 一 种 用 于 Cisco IOS 版 本 选 
择 的 工具 ,使 用 该 工具 可 以 根据 需要 选择 所 要 使 用 的 功能 ,并 选择 Cisco IOS 版 本 。 需 要 注 
意 的 是 ,在 使 用 该 工具 前 ,首先 需要 在 思科 的 官方 网 站 (www. cisco. com. cn) 注册 CCO 

1. 选择 IOS 版 本 标准 

思科 公司 提供 4 种 选择 IOS 版 本 的 方式 ,具体 内 容 如 下 。 

(1) 根据 设备 型 号 选择 : 不 同 的 设备 会 因为 硬盘 配置 等 原因 ,适用 的 IOS 版 本 也 有 所 
不 同 , 例 如 在 选择 IOS 版 本 时 ,需要 考虑 设备 的 Flash 容量 ,内存 大 小 等 。 

(2) 根据 技术 选择 : 使 用 该 标准 进行 搜索 ,可 以 选择 支持 特定 技术 的 Cisco IOS 。 

(3) 根据 功能 选择 : 不 同 的 IOS 所 包含 的 功能 是 不 相同 的 。 通 常情 况 下 ,为 了 保证 设 
备 的 运行 状态 ,建议 不 选择 包含 不 使 用 的 功能 的 IOS 版 本 。 

(4) 根据 版 本 选择 : 除 以 上 标准 外 ,还 可 以 直接 根据 Cisco IOS 的 版 本 进行 选择 ,并 查 
看 是 否 支持 指定 的 设备 。 

2. 选择 IOS 版 本 

(1) 根据 设备 型 号 选择 

根据 设备 型 号 选择 IOS 版 本 的 步骤 如 下 。 

@ 打开 正 浏览 器 ,在 地 址 栏 中 输入 如 下 内 容 : http:// 
tools. cisco. com/ITDITVISTMAINVservletyindex, 显示 图 6-29 
所 示 的 “连接 到 tools. cisco. com” 对 话 框 ,分 别 在 “用 户 名 ”和 
“密码 "文本 框 中 输入 申请 的 CCO 账号 和 密码 。 

四 单 击 “ 确 定 ” 按 钮 ,显示 图 6-30 所 示 的 Cisco IOS 
Software Selector 窗口 。 

@ 单 击 Search by Product 链接 ,显示 图 6-31 所 示 的 Search by Product 窗口 。 


图 6-29 “连接 到 tools. cisco. com” 
对 话 框 
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图 6-30 ”Cisco IOS Software Selector 窗口 
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图 6-31 Search by Product 窗口 


图 在 Platform 下 拉 列 表 框 中 ,选择 设备 型 号 ,例如 这 里 选择 2811。 在 Search by full or 
partial feature name 文本 框 中 ,输入 具有 全 部 或 部 分 功能 的 名 称 , 如 图 6-32 所 示 。 

加 单 击 Search 按钮 ,显示 图 6-33 所 示 的 Results 列表 。 在 Features avaliable 列表 中 ， 
显示 可 用 的 功能 列表 。 选 择 所 需 的 功能 , 单 击 Add 按钮 ,将 其 添加 到 右 侧 列表 中 即 可 。 
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图 6-32 ”搜索 具有 全 部 或 部 分 功能 的 版 本 
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图 6-33 ”Results 列表 


@@ 单 击 Continue 按钮 ,显示 图 6-34 所 示 的 Select a Major Cisco IOS Release 窗口 。 
@ 在 Cisco IOS Major Release 下 拉 列 表 框 中 ,选择 一 个 主要 的 IOS 版 本 ,例如 这 里 选 


择 12.4T 版 本 ,如 图 6-35 所 示 。 


在 Release 下 拉 列 表 框 中 ,选择 一 个 IOS 的 子 版 本 ,例如 这 里 选择 12. 4(22)T, 如 


图 6-36 所 示 。 在 Feature Set 下 拉 列 表 框 中 ,选择 所 需 的 功能 。 此 时 ,在 下 方 即 可 显示 搜索 
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图 6-34 Select a Major Cisco IOS Release 窗口 
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图 6-35 选择 IOS 主要 版 本 


结果 ,在 Image Info 栏 中 ,显示 搜索 到 的 IOS 名 称 和 产品 号 码 等 信息 。 在 Features 栏 中 , 显 
示 该 版 本 的 IOS 所 包含 的 功能 。 

(2) 根据 技术 选择 

根据 技术 选择 IOS 版 本 的 步骤 如 下 。 

OO 在 Cisco IOS Software Selector 窗口 中 ,选择 Search by Technology 链接 ,或 在 
Search by Product 页 面 中 ,选择 Search by Technology 选项 卡 ,如 图 6-37 所 示 。 
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图 6-37 ”Search by Technology 窗口 


@ 在 Technology 下 拉 列 表 框 中 ,选择 所 要 使 用 的 技术 名 称 , 例 如 这 里 选择 Security 
and VPN 选项 。 在 Sub Technology 下 拉 列 表 框 中 ,选择 所 选 技术 的 子 技 术 。 在 下 面 的 列 
表 中 ,选中 所 要 使 用 技术 前 的 复 选 框 ,如 图 6-38 所 示 。 

@ 单 击 Submit 按钮 ,显示 图 6-39 所 示 的 Results 窗口 。 在 Selected Features 列表 中 ， 


确认 所 选 的 技术 。 
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@ 单 击 Continue 按钮 .显示 图 6-40 所 示 的 页 面 。 根 据 需要 选择 IOS 的 版 本 内 容 , 其 设 
置 方法 同根 据 设 备 型 号 选择 相同 .这 里 就 不 再 缆 述 。 

(3) 根据 功能 选择 

根据 功能 选择 IOS 版 本 的 步骤 如 下 。 
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图 6-40 ”搜索 结果 


Oa 在 Cisco IOS Software Selector 窗口 中 ,选择 Search by Feature 链接 ,或 在 IOS 软件 
选项 页 面 中 ,选择 Search by Feature 选项 卡 , 如 图 6-41 所 示 。 在 Search by full or partial 
feature name 文本 框 中 ,输入 所 要 使 用 的 一 个 或 多 个 功能 。 
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6-41 Search by Feature 窗口 


@ 单 击 Search 按钮 ,显示 图 6-42 所 示 的 页 面 。 在 Features avaliable 列表 中 ,显示 可 用 
的 功能 列表 。 选 择 所 需 的 功能 , 单 击 Add 按钮 .将 其 添加 到 右 侧 列表 中 即 可 。 具 体操 作 与 
根据 设备 型 号 选择 相同 ,这 里 就 不 再 袭 述 。 
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图 6-42 选择 功能 


(4) 根据 版 本 选择 

根据 版 本 选择 IOS 版 本 的 步骤 如 下 。 

Oz 选择 图 6-43 所 示 的 Search by Release 选项 卡 ,显示 了 Cisco 所 有 的 IOS 版 本 信息 。 
也 可 以 在 下 方 选项 区 域 中 ,根据 实际 需要 进行 搜索 ,包括 IOS 主要 版 本 .设备 类 型 和 设备 号 


http://tools cises erm/TTDIT/TSTNATN/D spateh?, 
宣 安 作 - 名 -OIAV -OTS 


| 
CIsSCO Cisco10S Software Selector 


(Oojecte :Display he hst of fealures na Cisco IOS Release 
Star by selecing 3 rolease Wom he Quick Pick ist Cisco IOS malor release platorm or enter 3 Product Number Then cic 
Contnue- 


in me features in a specihc ClscoIOS releese. using one of te fogowng metroos: 
@ Ctscolos MalorRelease [Saecone [me] 
Sm 


© ProductNumper [ 


6-43 ”Search by Release 窗口 
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码 。 这 里 选中 Platform 单 选 按钮 ,根据 设备 类 型 选择 IOS 版 本 。 在 下 拉 列 表 框 中 选择 7200 
选项 ,选择 7200 系列 设备 的 IOS。 

@ 单 击 Continue 按钮 ,显示 图 6-44 所 示 的 窗口 。 具 体 各 选项 设置 方法 同根 据 设备 型 
号 选择 相同 ,这 里 不 再 袭 述 。 
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6.5 密码 恢复 


由 于 种 种 原因 (如 工作 移交 、 技 术 文 档 丢 失 ) ,网 络 管理 员 可 能 会 遗失 网 络 设备 的 密码 。 
而 丢失 密码 将 意味 着 无 法 实现 对 网 络 设备 的 管理 。 事 实 上 ,只 需 通 过 简单 的 几 个 步骤 , 即 可 
清除 原来 设置 的 密码 ,并 重新 设置 新 的 密码 。 当 然 , 为 了 访问 安全 起 见 ,密码 的 清除 工作 必 
须 通 过 Console 端口 才能 完成 。 


6.5.1 交换 机 密码 恢复 


在 实际 工作 中 ,很 有 可 能 遇 到 忘记 控制 台 口 令 的 事情 。 但 没有 口令 就 不 能 进入 特权 用 
户 级 ,也 就 不 能 对 路 由 器 做 配置 。 此 时 , 则 需要 对 设备 的 密码 进行 恢复 操作 , 即 恢 复 密 码 的 
出 厂 设 置 。 

(1) 拔 掉 网 络 设备 的 电源 线 。 

(2) 利用 Console 线 将 计算 机 的 串 行 口 与 路 由 器 的 Console 口 连接 在 一 起 ,并 设置 好 超 
级 终端 。 

(3) 按 住 网 络 设备 前 面板 的 Mode 按钮 , 插 上 电源 线 。 当 端口 1(2900/3500XL/3550 
等 ) 或 STAT(Cisco Catalyst 2940/2950 等 )LED 指示 灯 不 再 亮 后 , 松 开 Mode 按钮 ,超级 终 
端 显 示 如 下 内 容 。 


so@ 
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The system has been interrupted prior to initializing the 
The system has been interrupted prior to initializing the 
the flash filesystem, and finish loading the operating 
system software: 

flash_init 

load_helper 

bootswitch: 


(4) 输入 flash_init。 
switch: flash_init 
(5) 输入 load_helper。 


switch: load_helper 
switch: 


(6) 输入 dirflash:。 
switch: dirflash: 
(7) 输入 rename flash:config. text flash:config. old, 重 新 命令 配置 文件 。 


switch: rename flash:config. text flash:config. old 
switch: 

!--- The config. text file contains the password 
!--- definition. 


(8) 输入 boot, 重 新 启动 系统 。 
switch: boot 


(9) 输入 n, 忽 略 系统 初始 配置 。 


Continue with configuration dialog? [yes/no]: n 
!--- Type "n" for no. 

Press RETURN to get started. 

!--- Press Return or Enter. 

Switch 二 

!--- The Switch 二 prompt is displayed. 


(10) 输入 enable, 进 入 enable 模式 。 


Switch>enable 
Switch# 


(11) 输入 rename flash:config. old flash:config. text, 将 配置 文件 重 命名 为 原始 名 称 。 


Switch# rename flash:config. old flash: config. text 
Destination filename [config. text] 

!--- Press Return or Enter. 

Switch# 


(12) 输入 copy flash:config. text system:running-config, 将 配置 文件 复制 至 内 存 。 配 
置 文件 被 重新 装载 。 
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Switch# copy flash: config. text system: running-config 
Destination filename [running-config] ? 

!--- Press Return or Enter. 

1131 bytes copied in 0.760 secs 

Switch# 


(13) 修改 密码 。 


Switch# configure terminal 

Switch(config) # no enable secret 

!--- This step is necessary if the switch had an enable secret 
!--- password. 

Switch(config) # enable password Cisco 

Switch# (config)#°Z 

!--- Use Ctrl-2Z. 


(14) 输入 write memory, 将 当前 运行 配置 写 入 配置 文件 。 


switch# write memory 
Building configuration... 
[OK] 

Switch# 


6.5.2 路 由 器 密码 恢复 


路 由 器 密码 恢复 步 又 如 下 。 

(1) 关 掉 路 由 器 电源 ,利用 Console 线 将 计算 机 的 串 行 口 与 路 由 器 的 Console 口 连接 在 
一 起 ,并 设置 好 超级 终端 。 

(2) 如 果 仍 然 可 以 访问 路 由 器 ,输入 show version 命令 ,并 记录 配置 寄存 器 的 原始 值 ， 
通常 为 0x2102 或 0x102。 如 果 由 于 遗忘 了 登录 或 TACACS 密码 而 不 能 访问 路 由 器 ,可 以 
将 寄存 器 设置 为 0x2102 。 


Router 二 enable 

Password : 

Password : 

Password : 

% Bad secrets 

Router> show version 

Cisco Internetwork Operating System Software 

IOS (tm) C2600 Software (C2600-IS-M), Version 12.0(7)T, RELEASE SOFTWARE (fc2) 
Copyright (c) 1986-1999 by cisco Systems, Inc. 

Compiled Tue 07-Dec-99 02:21 by phanguye 

Tmage text-base: 0x80008088, data-base: 0x80C524F8 

ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fcl) 
Configuration register is 0x2102 

Router> 


(3) 打开 路 由 器 的 电源 ,在 60 秒 内 按 下 键盘 上 的 Break 键 ,使 路 由 器 进入 rommon 
模式 。 


ee 图 
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(4) 在 rommon 1 过 提示 符 下 输入 confreg 0x2142 ,从 Flash 引导 ,但 不 装载 配置 文件 。 


rommon 1 > confreg 0x2142 
You must reset or power cycle for new config to take effect 


(5) 在 rommon 2 二 提示 符 下 输入 reset, 路 由 器 重新 引导 ,并 且 忽 略 已 经 保存 的 配置 
训 作 : 


rommon 2 > reset 


(6) 在 每 个 问题 后 输入 no 或 按 Ctrl 十 C 键 , 跳 过 初始 设置 程序 。 
(7) 在 Router 二 提示 符 下 输入 enable, 将 进入 enable 模式 ,并 看 到 Router# 提示 符 。 


Router>enable 
Router# 


(8) 输入 configure memory 或 copy startup-config running-config 将 复制 NVRAM 至 
内 存 ,不 要 输入 configure terminal。 


Router# copy startup-config running-config 


(9) 输入 write terminal 或 show running-config ,查看 路 由 器 配置 ,以 及 处 于 加 密 或 非 
加 密 状 态 下 的 密码 (如 enable 密码 .enable secret 密码 ,vty 密码 ,console 密码 等 ) 。 非 加 密 
密码 可 以 继续 使 用 ,但 如 果 是 加 密 密 码 则 需要 另外 更 换 。 


Router show running-config 
(10) 输入 configure terminal ,进入 配置 模式 ,提示 符 改变 为 hostname(config)# 。 


Router# configure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 
00:01:54: %SYS-5-CONFIG_I: Configured from console by console 
Router(config)# 


(11) 输入 enable secret 一 password 二 修改 enable secret 密码 。 


Router(Cconfig) # enable secret cisco 
Router(config)#°2 


(12) 进入 每 个 使 用 的 接口 ,输入 no shutdown 命令 ,启动 该 端口 。 


Router# configure terminal 

Enter configuration commands, one per line. End with CNTL/Z. 

Router(config) # interface FastEthernet0/0 

Router(config-if) # no shutdown 

Router(config-if) # 

00:02:14: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up 
00:02:15: WLINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state 
to up 

Router(Cconfig-if) # interface Serial0/0 

RouterCconfig-if) # no shutdown 

Router(config-if) # 
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(13) 输入 config-register 0x2102, 或 者 记录 的 配置 寄存 器 的 原始 值 。 
Router(config) # config-register 0x2102 
(14) 按 Ctrl 十 Z 键 或 End 键 .离开 配置 模式 。 提 示 符 改变 为 hostname# 。 


Router(config) #°2 
00:03:20: %SYS-5-CONFIG _I: Configured from console by console 


(15) 输入 write memory 或 copy running-config startup-config, 提 交 修 改 。 


Router# copy running-config startup-config 
Destination filename [startup-config]? 
Building configuration... 

[OK] 

Router# 


6.5.3 安全 设备 密码 恢复 

安全 设备 密码 恢复 步骤 如 下 。 

(1) 关 掉 路 由 器 电源 ,利用 Console 线 将 计算 机 的 串 行 口 与 安全 设备 的 Console 口 连接 
在 一 起 ,并 设置 好 超级 终端 。 

(2) 打开 路 由 器 的 电源 ,显示 启动 信息 的 时 候 , 按 Esc 键 ,使 安全 设备 进入 rommon 模式 。 

(3) 在 rommon 1 二 提示 符 下 输入 confreg, 从 Flash 引导 ,但 不 装载 配置 文件 。 

rommon 1 > confreg 


显示 当前 配置 注册 值 ,并 且 会 提示 Do you wish to change this configuration。 


Current Configuration Register: 0x00000011 

Configuration Summary: 

boot TFTP image, boot default image from Flash on netboot failure 
Do you wish to change this configuration? y/n [nj: 


(4) 记录 当前 配置 的 注册 值 ,以 备 稍 后 恢复 ,根据 提示 输入 y 更 改 注 册 值 。 

(5) 除了 disable system configuration 输入 y, 其 他 设置 保持 默认 值 即 可 。 

(6) 重新 启动 设备 ,输入 boot 命令 即 可 ,设备 会 加 载 默认 的 配置 而 不 加 载 startup-config 
文件 。 


Rommon #2> boot 
(7) 设备 启动 后 进入 特权 模式 。 当 系统 提示 输入 密码 ,直接 按 Enter 键 即 可 。 
Hostname> enable 


(8) 输入 copy startup-config running-config 将 复制 NVRAM 至 内 存 , 不 要 输入 


configure terminal。 


Hostname# copy startup-config running-config 


(9) 输入 write terminal 或 show running-config ,查看 路 由 器 配置 ,以 及 处 于 加 密 或 非 
加 密 状 态 下 的 密码 (如 enable 密码 ,enable secret 密码 ,vty 密码 .console 密码 等 )。 非 加 密 
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密码 可 以 继续 使 用 ,但 如 果 是 加 密 密 码 则 需要 另外 更 换 。 
Hostname# show running-config 
(10) 输入 configure terminal, 进 入 配置 模式 。 
Hostname configure terminal 
(11) 配置 新 密码 ,对 于 安全 产品 来 说 这 步 是 必要 的 。 


Hostname(config) # password password 
Hostname(config) # enable password password 
Hostname(config) # username name password password 


(12) 通过 以 下 命令 更 改 注册 值 ,并 且 在 下 一 次 重启 时 加 载 startup-config 启动 。 这 旦 
所 输入 的 注册 值 即 为 第 4 步 所 记录 的 值 。 


Hostname( config) # config-register volue 
(13) 保存 新 配置 到 startup-config 文件 。 


Hostname(config) # copy running-config startup-config 


旦 


6.6 CiscoWorks LMS 

CiscoWorks LMS 是 Cisco 公司 推出 的 专门 为 中 小 企业 设计 的 管理 软件 ,使 用 SNMP 
作为 核心 协议 的 网 络 管理 系统 。 

6.6.1 安装 CiscoWorks LMS 


在 开始 安装 CiscoWorks LMS 前 , 除 对 Windows 系统 进行 设置 外 ,还 应 安装 其 他 所 需 
组 件 和 支持 工具 ,例如 Java 插件 。 


1. 安装 系统 需求 

CiscoWorks LMS 的 安装 和 运行 对 服务 器 具有 一 定 的 要 求 ,在 安装 之 前 ,必须 保证 服务 
器 至 少 满足 如 下 配置 。 

(1) 硬件 要 求 

硬件 要 求 如 下 。 


© Pentium 4 2.0GHz 以 上 CPU 。 

@ 2048MB 以 上 内 存 。 

@ 2GB 以 上 自由 磁盘 空间 。 

@ DVD-ROM 驱动 器 。 

@ 系统 缓存 大 于 等 于 内 存 容量 。 

@ 10/100Mbps 自 适应 网 卡 。 

(2) 软件 需求 

软件 要 求 如 下 。 

中 安装 Windows Server 2003 ,并 安装 SP1 和 R2 补丁 包 。 
@ 正确 配置 IP 地 址 、 子 网 掩 码 和 默认 网 关 等 。 
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@ 采用 NTFS 文 件 系统 ,不 能 安装 于 FAT 文件 系统 。 

加 Windows Server 2003 为 独立 服务 器 ,不 能 设置 为 主 域 控制 器 。 

加 安装 网 卡 驱动 程序 ,设置 IP 地 址 ,并 检查 被 管理 设备 的 连通 性 。 

@@ 安装 Internet Explorer 6.0 或 以 上 版 本 。 

@ 安装 Microsoft VM, 升 级 到 最 新 版 本 。 

注意 : 网 管 服务 的 主机 名 和 JP 地 址 一 旦 确定 ,在 安装 完 CiscoWorks 系统 后 不 要 更 改 ， 
因 其 涉及 的 设置 项 目 很 多 ,请 一 定 要 注意 。 

2. 安装 前 准备 工作 

(1) 安装 Java 

因为 使 用 CiscoWorks 管理 网 络 设备 ,需要 使 用 支持 Java 的 IE 浏览 器 ,因此 需要 在 准 
备 安装 CiscoWorks 的 计算 机 上 ,安装 Java 程序 。Java 软件 包 可 以 在 http://www. sun. 
com. cn 网 站 上 下 载 并 安装 。 

(2) IE 浏览 器 设置 


IE 浏览 器 设置 步骤 如 下 。 
@ 打开 I 浏览 器 ,依次 选择 IE 菜单 “工具 ”>“Internet 选项 ”命令 ,打开 图 6-45 所 示 
的 “Internet 属性 ”对 话 框 。 


@ 单 击 “ 设 置 "按钮 ,显示 图 6-46 所 示 的 “设置 "对 话 框 。 选 中 “每 次 访问 此 页 时 检查 ” 

单 选 按钮 ,设置 “使 用 的 磁盘 空间 ”大 于 6MB。 
EE 
第 秽 | 安全 | 隐私 | 内容 | 连接 | 程序 | 高 | 

主页 
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图 6-45 “Internet 属性 ”对 话 框 图 6-46 “设置 "对 话 框 


@ 单 击 “ 确 定 ” 按 钮 ,返回 Internet 属性 ”对 话 框 。 单 击 “ 字 体 ” 按 钮 ,显示 图 6-47 所 示 
的 “字体 ”对 话 框 。 在 “网 页 字体 ”列表 中 ,选择 Microsoft Sans Serif 选项 。 

@ 在 “Internet 属性 ”对 话 框 中 选择 “高 级 "选项 卡 ,选中 Microsoft VM 中 的 “启用 Java 
控制 台 (需要 重启 动 )" 复 选 框 ,如 图 6-48 所 示 。 

@ 最 后 , 单 击 “ 确 定 ” 按 钮 保存 设置 。 

3. 安装 CiscoWorks LMS 

在 CiscoWorks LMS 的 安装 过 程 中 ,需要 根据 需要 选择 所 需要 的 组 件 ,以 及 一 些 基 本 设 
置 ,例如 管理 员 密 码 等 。 这 里 以 安装 CiscoWorks LMS 3.0 为 例 进行 介绍 ,主要 操作 步骤 如 下 。 
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图 6-47 “字体 "对话 框 图 6-48 “高 级 "选项 卡 


(1) 将 CiscoWorks LMS 安装 光盘 插入 光驱 ,显示 图 6-49 所 示 的 安装 界面 。 

(2) 单 击 Install 按钮 ,并 连续 单 击 Next 按钮 ,显示 图 6-50 所 示 的 Software License 
Agreement 对 话 框 。 
Ee he = 


sul 国 Se 
ClscoWorks 全 
Cisco LMS 3.0 Applications = 


ena roae ons weit Deed Camer Soae | choc ce 
core wa or 赂 


Des et er ee eo rm hae 
Coprignt 71990-2007 Clsco Systems, ne Ces _ ‘he [CHE oo recen 
图 6-49 CiscoWorks LMS 3.0 安装 界面 图 6-50 Software License Agreement 对 话 框 


(3) 单 击 Accept 按钮 ,显示 图 6-51 所 示 的 Setup Type 对 话 框 , 选 中 Typical installation 单 
选 按钮 ,使 用 典型 安装 类 型 即 可 。 

(4) 单 击 Next 按钮 ,显示 图 6-52 所 示 的 Select Applications 对 话 框 。 根 据 需 要 选中 所 
要 安装 的 组 件 , 这 里 选择 除 Device Fault Manager 3.0 HPOV-Netview adapters 外 的 所 有 
组 件 。 需 要 注意 的 是 , Device Fault Manager 3.0 HPOV-Netview adapters 组 件 和 Device 
Fault Manager 3.0 组 件 不 能 同时 安装 。 

(5) 单 击 Next 按钮 ,显示 图 6-53 所 示 的 Licensing Information 对 话 框 。 选 中 License 
File Location 单 选 按钮 ,并 单 击 Browse 按钮 ,浏览 并 选中 许可 证 文件 。 

(6) 单 击 Next 按钮 ,显示 图 6-54 所 示 的 System Requirements 对 话 框 。 检 查 系 统 是 否 
符合 CiscoWorks LMS 的 最 低 要 求 , 在 Available 列 中 ,显示 的 是 当前 系统 的 检测 内 容 , 在 
Required 列 中 ,显示 的 是 软件 的 最 低 要 求 。 

(7) 单 击 Next 按钮 ,显示 图 6-55 所 示 的 Enter the Admin Password 对 话 框 。 在 User 
Admin Password 和 Confirm Password 文本 框 中 ,分 别 输入 管理 员 Admin 的 密码 和 确认 
密码 。 
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图 6-52 Select Applications 对 话 框 
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图 6-53 ”Licensing Information 对 话 框 


图 6-54 System Requirements 对 话 框 


(8) 单 击 Next 按钮 ,显示 图 6-56 所 示 的 Enter the System Identity Account Password 对 话 
框 。 分 别 在 System Identity Account Password 和 Confirm Password 文本 框 中 ,输入 系统 
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图 6-55 Enter the Admin Password 对 话 框 


图 6-56 Enter the System Identity Account 


Password 对 话 框 


(9) 单 击 Next 按钮 ,显示 图 6-57 所 示 的 Summary 对 话 框 ,查看 前 面 的 设置 是 否 正确 。 
(10) 单 击 Install 按钮 ,开始 安装 CiscoWorks LMS。 需要 注意 的 是 ,这 个 过 程 需要 比 
较 长 的 时 间 。 安 装 完成 后 ,显示 图 6-58 所 示 的 Information 对 话 框 ,显示 安装 结果 。 
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图 6-57 Summary 对 话 框 


图 6-58 Information 对 话 框 


(11) 单 击 Next 按钮 ,显示 图 6-59 所 示 的 Restart 对 话 框 ,提示 需要 重新 启动 计算 机 。 

(12) 单 击 Finish 按钮 ,重新 启动 计算 机 完成 安装 。 

注意 : 在 CiscoWorks 安装 完成 后 ,还 需要 安装 CiscoWorks 的 补丁 包 , 具 体 安 装 步骤 与 
CiscoWorks 基本 相同 ,这 里 就 不 再 珊 述 。 

4. 客户 端 配置 

CiscoWorks 安装 完成 以 后 , 即 可 以 在 网 络 中 的 任何 一 台 计 算 机 上 进行 管理 。 由 于 
CiscoWorks 的 功能 非常 多 而 且 强 大 ,因此 ,这 里 只 介绍 一 些 常用 且 较 重要 的 功能 。 

客户 端 计 算 机 在 连接 CiscoWorks 时 需要 运行 Java 脚本 程序 . 由 于 IE 浏览 器 的 安全 


级 别 默认 设置 为 “高 ”, 此 时 会 


如 下 步骤 设置 。 


打开 IE 浏览 器 ,依次 选择 “工具 ”一 


禁止 Java 脚本 程序 的 运行 ,导致 界面 不 能 显示 。 因 此 ,需要 按 


“Internet 选项 ”命令 ,在 “Internet 选项 ”对 话 框 中 选 


择 “ 安 全 "选项 卡 , 单 击 “ 自 定义 级 别 " 按 钮 显示 “安全 设置 ”对话 框 ,在 “脚本 ”选项 区 域 中 ,在 
“Java 小 程序 脚本 ”和 “活动 脚本 ”下 均 选中 “启用 " 单 选 按钮 ,如 图 6-60 所 示 。 
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图 6-59 ”Restart 对 话 框 


* 生 新 局 动 Taternet Ixplorer 之 后 生效 


重 午 自 定义 讼 于 
重 村 为 加 ) :| 中 -高 全 认 ) mM [BED 


图 6-60 “安全 设置 "对 话 框 
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另外 ,IE 浏览 器 还 必须 允许 弹出 窗口 ,或 者 只 允许 CiscoWorks 服务 器 站 点 弹出 窗口 ， 
否则 ,将 不 能 正确 显示 。 

5. 登录 CiscoWorks 

在 CiscoWorks 服务 器 上 ,可 以 依次 选择 “开始 ”一 “程序 "一 CiscoWorks 一 CiscoWorks 
命令 ,登录 CiscoWorks。 

而 在 客户 端 计算 机 , 则 可 以 打开 IE 浏览 器 ,在 地 址 栏 中 输入 http://ciscoworks 服务 器 
IP 地 址 :1741, 即 可 登录 CiscoWorks, 如 图 6-61 所 示 。 
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图 6-61 客户 端 登录 CiscoWorks 


6.6.2 CiscoWorks 自动 搜索 网 络 设备 


在 CS 中 可 以 利用 设备 自动 搜索 功能 ,对 网 络 内 的 设备 进行 全 面 自动 搜索 ,避免 大 量 手 
工 输入 工作 ,这 也 是 能 够 使 用 LMS 所 有 功能 的 首要 条 件 。 自 动 搜索 完毕 后 ,所 能 管理 的 设 
备 将 自动 存 人 CS 和 CM 设备 管理 库 , 若 有 特殊 设备 需要 存 人 设备 库 , 也 可 以 通过 CS 的 设 
备 管理 来 手动 添加 。 

(1) 在 CiscoWorks 主页 的 CS 面板 上 ,选择 Device and Credentials 选项 卡 , 在 展开 的 
列表 中 , 单 击 Device Discovery 链接 ,显示 图 6-62 所 示 的 Discovery Settings Summary 窗 
口 ,显示 了 当前 发 现 的 设备 。 

(2) 单 击 左 侧 的 Device Settings 链接 ,显示 图 6-63 所 示 的 页 面 ,显示 了 当前 自动 发 现 
的 配置 汇总 信息 。 

(3) 单 击 Configure 按钮 ,显示 图 6-64 所 示 的 Module Settings 窗口 。 根 据 实际 情况 选 
择 所 使 用 的 发 现 协议 ,这 里 只 选中 Cisco Discovery Protocol(CDP) 复 选 框 。 

(4) 单 击 Next 按钮 ,显示 图 6-65 所 示 的 Seed Device Settings 窗口 。 设 置 种 子 设备 的 
IP 地 址 ,用 作 网 络 发 现 的 起 点 。 在 Seed Devices 列表 中 ,选择 CDP 选项 , 单 击 Add 按钮 添 
加 ,可 添加 多 个 种 子 设备 地 址 。 


sh Common Services 
cisco 


sh 
cisco 


图 6-63 自动 发 现 配置 信息 


(5) 单 击 Next 按钮 ,显示 图 6-66 所 示 的 SNMP Settings 窗口 ,选中 v2c 复 选 框 。 

(6) 单 击 Edit 按钮 ,显示 图 6-67 所 示 的 SNMPv2 窗口 。 在 Target 文本 框 中 输入 网 络 
中 设备 的 地 址 ,“ * ”表示 所 有 。 在 Read Community 文本 框 中 ,输入 SNMP 读 取 字 符 串 ,其 
他 设置 保持 默认 值 即 可 。 


图 6-65 ”Seed Device Settings 窗口 


(7) 单 击 OK 按钮 ,返回 SNMP Settings 窗口 ,再 单 击 Next 按钮 ,显示 图 6-68 所 示 的 
Filter Settings 窗口 。 在 IP Address 文本 框 中 ,可 添加 要 搜索 的 网 络 设备 的 IP 地 址 范围 。 
如 果 网 络 设备 不 在 同一 IP 地 址 段 ,可 单 击 Add 按钮 添加 不 同 的 IP 地 址 范围 。 

(8) 单 击 Next 按钮 ,显示 图 6-69 所 示 的 Global Settings 窗口 。 进 行 常 规 设置 , 在 
Preferred DCR Display Name 列表 中 ,选择 设备 的 显示 名 称 。 在 Preferred Management IP 
列表 中 ,选择 首选 管理 IP 地 址 。 
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6-68 Filter Settings 窗口 
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6-69 ”Global Settings 窗口 


(9) 单 击 Next 按钮 ,显示 图 6-70 所 示 的 Summary 窗口 ,显示 前 面 设 置 的 摘要 信息 。 


6-70 Summary 窗口 


(10) 单 击 Finish 按钮 ,返回 Discovery Settings Summary 窗口 。 单 击 Start Discovery 
按钮 ,显示 图 6-71 所 示 的 Info 窗口 。 

(11) 单 击 OK 按钮 , 即 可 开始 设备 的 自动 发 现 。 发 现 完成 后 ,显示 图 6-72 所 示 的 发 现 
完成 窗口 。 从 图 中 可 知 , 共 发 现 39 个 设备 ,其 中 29 个 设备 可 访问 ,10 个 设备 不 可 访问 。 
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sh Common Services 


图 6-72 完成 设备 发 现 


小 知识 : 如 果 不 能 自动 搜索 到 所 有 设备 ,可 检查 设备 的 配置 ,然后 再 次 搜索 。 如 果 想 再 
次 搜索 , 则 可 单 击 Start Device Discovery 链接 。 

所 有 搜索 到 的 设备 会 自动 保存 到 Common Services 中 的 Device and Credentials 列表 
中 。 在 Device Management 窗口 中 ,展开 All Devices 目录 , 即 可 查看 所 有 搜索 到 的 设备 ,如 
图 6-73 所 示 。 


6.6.3 向 CiscoWorks 中 手动 添加 网 络 设备 


虽然 使 用 自动 搜索 设备 ,可 以 将 大 多 数 的 网 络 设备 自动 添加 到 CiscoWorks 中 ,但 有 些 
设备 可 能 会 因为 种 种 原因 ,不 能 被 自动 搜索 到 。 为 了 管理 这 些 设备 ,需要 使 用 手动 添加 设备 
的 方法 将 这 些 设备 添加 到 CiscoWorks 中 。 

(1) 在 Common Services 窗口 中 ,选择 Device and Credentials 选项 卡 , 单 击 Device 
Management 链接 ,显示 图 6-74 所 示 的 Device Management 窗口 。 
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6-74 ”Device Management 窗口 


(2) 单 击 Add 按钮 ,显示 图 6-75 所 示 的 Device Properties 窗口 ,设置 要 添加 的 设备 
属性 。 

(3) 单 击 Select 按钮 ,显示 图 6-76 所 示 的 Device Type 窗口 ,选择 要 添加 的 设备 类 型 ， 
例如 ,要 添加 交换 机 , 则 可 展开 Switches and Hubs 项 ,在 列表 中 选择 要 添加 的 交换 机 
类 型 。 
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图 6-76 Device Type 窗口 


(4) 按键 盘 上 的 Tab 键 选择 OK 按钮 ,添加 并 返回 Device Properties 窗口 。 在 Display 
Name 文本 框 中 输入 该 设备 的 显示 名 称 , 在 卫 Address 文本 框 中 输入 该 设备 的 IP 地址 ,如 
图 6-77 所 示 。 单 击 Add To List 按钮 ,添加 到 Added Device List 列表 框 中 。 重 复 操作 ,可 
添加 多 个 设备 。 

(5) 选择 完 设备 后 , 单 击 Next 按钮 ,显示 图 6-78 所 示 的 Standard Credentials 窗口 ,在 
Primary Credentials 选项 区 域 中 ,分别 输入 登录 交换 机 时 的 口令 。 

注意 : 如 果 要 同时 添加 多 个 设备 ,在 此 处 设置 的 口令 信息 将 会 同时 应 用 于 这 些 设备 , 因 
此 ,必须 确保 各 设备 的 口令 相同 。 否 则 ,应 逐个 添加 设备 ,或 者 在 添加 后 再 进行 修改 。 
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图 6-78 ”Standard Credentials 窗口 


(6) 单 击 Next 按钮 ,显示 图 6-79 所 示 的 SNMP Credentials 窗口 。 在 RO Community 
String 和 Verify 文本 框 中 .输入 设备 的 只 读 字符 串 。 在 RW Community String 和 Verify 文 
本 框 中 ,输入 可 读 写 的 SNMP 字符 串 。 

(7) 单 击 Next 按钮 ,显示 图 6-80 所 示 的 HTTP Settings 窗口 ,保持 默认 设置 即 可 。 

(8) 单 击 Next 按钮 ,显示 图 6-81 所 示 的 User Defined Fields 窗口 ,根据 需要 设置 用 户 
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图 6-80 HTTP Settings 窗口 


自 定义 字段 ,这 里 保持 默认 设置 。 

(9) 单 击 Finish 按钮 ,添加 成 功 显示 图 6-82 所 示 的 Info 窗口 。 

在 Device Management 窗口 中 ,展开 All Devices 目录 ,如 图 6-83 所 示 。 如 果 要 更 改 某 
个 设备 的 属性 ,可 选择 该 设备 , 单 击 Edit Identity 或 Edit Credentials 按钮 ,进行 修改 即 可 。 


6-81 User Defined Fields 窗口 


图 6-83 设备 添加 完成 
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6.6.4 在 CiscoWorks 中 查看 设备 


设置 添加 完成 后 , 即 可 在 Device Troubleshooting 窗口 中 ,查看 更改、 测试 被 管 设备 配 
置 和 属性 。 

1. 查看 被 管 设 备 的 属性 

(1) 在 Device Diagnostic Tools 窗口 中 单 击 Device Center 链接 ,显示 图 6-84 所 示 的 
Device Center 窗口 。 
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图 6-84 Device Center 窗口 


(2) 在 Device Selector 列表 框 中 , 单 击 欲 查 看 的 设备 ,或 者 在 文本 框 中 直接 输入 设备 的 
名 称 并 单 击 祝 按 钮 , 即 可 显示 设备 的 摘要 信息 ,如 图 6-85 所 示 。 
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图 6-85 显示 设备 信息 


2. 探测 被 管 设备 的 被 管 能 力 

在 不 同 的 网 络 环境 中 ,所 使 用 的 网 络 设备 管理 方式 也 有 所 不 同 ,例如 Telnet、HTTP 
等 。 通 常情 况 下 ,根据 不 同 的 需要 所 允许 的 管理 方式 也 是 不 相同 的 ,使 用 CiscoWorks 可 以 
对 网 络 设备 的 管理 能 力 进 行 探测 ,测试 网 络 中 的 设备 可 以 以 哪些 方式 登录 和 管理 。 

(1) 打开 Device Center 窗口 ,在 Tools 选项 区 域 中 单 击 Management Station to Device 
链接 ,显示 图 6-86 所 示 的 Management Station to Device 窗口 ,选择 欲 测 试 的 项 目 。 

(2) 单 击 OK 按钮 , 即 可 开始 进行 探测 ,完成 后 显示 图 6-87 所 示 的 Interface Test 
Results 窗口 ,显示 探测 结果 。 如 果 该 设备 支持 某 种 管理 方式 , 则 会 显示 为 Okay, 如 果 不 支 
持 则 显示 为 Failed。 

另外 ,在 Tools 选项 区 域 中 ,还 提供 了 Ping Trace Route 和 Telnet 等 工具 。 而 Packet 
Capture 则 提供 了 捕获 设备 流量 的 功能 ,可 以 捕获 通过 设备 的 包 , 但 必须 安装 Winpcap 软件 
包 才 能 正确 捕获 数据 包 ,而 且 还 要 安装 Ethereal 软件 才能 正确 解码 捕获 的 数据 包 。 

3. 设置 SNMP 选项 

使 用 CiscoWorks LMS 还 可 以 配置 设备 的 SNMP 字符 串 。 打 开 Device Center 窗口 ， 
在 Tools 选项 区 域 中 单 击 SNMP Set 超 链接 ,显示 图 6-88 所 示 的 SNMP Set 窗口 。 在 Device 
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图 6-86 Management Station to Device 窗口 6-88 SNMP Set 窗口 


Pe i] 

Name 文本 框 中 ,输入 设备 的 名 称 或 IP 地 址 。 在 SNMP Version 选项 区 域 中 ,选择 所 要 使 
用 的 SNMP 版 本 。 在 RW Community String 文本 框 中 ,输入 读 写 SNMP 字符 串 。 根 据 实 
际 情况 ,设置 OID、Object Type 和 SNMP Timeout 等 选项 。 最 后 , 单 击 Finish 按钮 ,确认 设 
置 即 可 。 

4. 图 形 化 显示 设备 

在 CiscoWorks 中 ,可 以 利用 CiscoView 功能 以 图 形 化 的 方式 显示 网 络 设备 ,例如 实时 
显示 设备 的 面板 .指示 灯 、 链 路 的 利用 率 和 更 改 设备 的 配置 等 。 

(1) 在 CiscoWorks 窗口 中 , 单 击 CiscoView 窗口 中 的 Classis View 超 链接 ,显示 图 6-89 
所 示 的 CiscoView(CISCOWORKSLMS) 页 面 。 
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图 6-89 CiscoView 页 面 


(2) 在 左 侧 列表 中 ,选择 欲 查看 的 设备 。 所 选 设备 即 可 以 图 形 方式 显示 ,图 6-90 所 示 
为 CiscoWorks 6509 交换 机 的 模拟 图 形 。 需 要 注意 的 是 ,有 的 交换 机 类 型 较 新 , 某 些 模块 可 
能 不 为 CiscoWorks 所 支持 ,此 时 则 会 显示 为 UNSUPPORTED CAID。 

另外 ,也 可 以 直接 在 Device Name/IP 文本 框 中 输入 设备 的 卫 地 址 , 单 击 咏 按钮 即 可 显 
示 设 备 。 不 过 ,如 果 网 络 设置 尚未 添加 到 CS 中 , 则 会 显示 图 6-91 所 示 的 Please enter 
SNMP credentials 窗口 ,需要 管理 员 提 供 SNMP 口令 。 根 据 实 际 情况 选择 SNMP 的 类 型 ， 
并 输入 SNMP 口令 ,最 后 单 击 OK 按钮 即 可 。 


6.6.5 使 用 CiscoWorks 监测 设备 


在 CiscoView 中 ,还 可 以 实时 监测 网 络 设备 的 使 用 情况 。 当 以 模拟 图 形 显示 出 设备 
后 , 右 击 设备 的 非 板 卡 区 ,在 快捷 菜单 中 选择 Monitor 命令 ,显示 图 6-92 所 示 的 设备 监视 
窗口 。 
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图 6-90 网络 设 备 的 模拟 图 形 
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图 6-91 SNMP Credentials 窗口 


图 6-92 ”监视 设备 


6.6.6 使 用 CiscoWorks 配置 设备 


利用 CiscoView 的 配置 功能 ,可 在 图 形 化 显示 设备 时 对 设备 进行 简单 的 配置 ,例如 设置 
端口 的 传输 速率 、 划 分 VLAN 等 ,使 用 起 来 非常 方便 。 

右 击 被 管 设备 模拟 图 形 的 板 卡 , 在 快捷 菜单 中 选择 Configure 命令 , 即 可 显示 配置 窗 
口 。 这 里 选择 的 是 交换 机 的 端口 区 域 , 如 图 6-93 所 示 , 根 据 需要 进行 设置 即 可 。 例 如 ,在 
Name of the Port 文本 框 中 输入 端口 名 1. 在 Configured Speed 下 拉 列 表 框 中 选择 1Gbps 选 


项 ,在 Port VLAN 文本 框 中 输入 1. 在 VLAN Port Admin Status 下 拉 列 表 框 中 选择 端口 的 
管理 状态 ,如 Static。 最 后 , 单 击 OK 按钮 保存 即 可 。 重 复 操作 ,可 继续 配置 其 他 端口 。 

需要 注意 的 是 ,并 非 设 备 上 的 所 有 板 卡 都 可 以 配置 ,如 指示 灯 、 电 源 等 ,只 能 查看 而 不 能 
配置 ,如 图 6-94 所 示 。 
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图 6-93 配置 窗口 图 6-94 查看 板 卡 配置 
习题 


1. 简 述 Telnet 的 工作 过 程 。 
2. 网 络 设备 的 初始 化 配置 包括 哪些 内 容 ? 
3， 简 述 思科 公司 提供 的 4 种 选择 IOS 版 本 的 方式 。 


实验 : 使 用 CiscoWorks LMS 


实验 目的 : 

熟练 掌握 CiscoWorks LMS 的 使 用 方法 。 

实验 内 容 : 

在 CiscoWorks LMS 添加 网 络 设备 ,并 对 网 络 设备 进行 监控 。 
实验 步骤 : 

(1) 使 用 CiscoWorks LMS 自动 搜索 网 络 设备 。 

(2) 手动 添加 网 络 设 备 。 

(3) 查看 被 管 设备 的 属性 。 

(4) 探测 被 管 设备 的 被 管 能 力 。 

(5) 图 形 化 显示 设备 。 


网 络 每 天 都 可 能 发 生 各 种 各 样 的 问题 ,例如 网 络 性 能 降低 .数据 传输 不 稳定 等 问题 。 甚 
至 出 现 网 络 故障 ,严重 影响 网 络 的 正常 使 用 。 因 此 ,网 络 管理 员 应 掌握 各 种 网 络 诊断 分 析 工 
具 , 实 时 地 监控 网 络 的 流量 和 带宽 等 , 当 网 络 运行 不 畅 或 发 生 故 障 时 ,可 以 利用 这 些 工具 及 
时 解决 故障 。 


7.1 网 络 流量 和 流量 监控 规划 


数据 在 网 络 中 进 Sh 会 在 网 络 中 产生 流量 。 如 果 网 络 中 的 所 有 流量 都 是 正常 的 
通信 数据 时 ,通常 不 会 有 问题 。 但 如 果 在 网 络 数据 中 存在 非法 的 数据 ,或 大 量 的 数据 传输 
时 , 则 有 可 能 会 造成 网 络 故障 。 


7.1.1 项 目 背 景 


在 当前 网 络 中 ,主要 的 数据 传输 为 局 域 网 数据 , 即 多 数 的 计算 机 没有 连接 Internet 的 网 
络 需求 ,在 网 络 内 的 网 络 流量 主要 为 局 域 网 数据 流量 。 换 言 之 ,在 网 络 内 的 数据 传输 多 为 服 
务 器 与 客户 端 之 间 的 数据 传输 。 


7.1.2 项 目 需求 


网 络 带宽 是 指 在 一 个 固定 的 时 间 内 能 通过 的 最 大 位 数据 ,如 同 高 速 公路 的 车 道 一 样 , 带 
宽 越 大 ,好 比 车 道 越 多 ,因此 ,需要 清楚 地 了 解 两 台 计算 机 之 间 的 带宽 。 另 外 ,在 网 络 中 存在 
多 个 无 线 AP, 因 为 无 线 传输 带宽 的 不 确定 性 ,需要 进行 网 络 带宽 的 测试 。 对 于 网 络 中 的 网 
络 流量 ,同样 需要 进行 相应 的 了 解 和 监视 ,从 而 进行 控制 。 而 对 于 网 络 中 核心 设备 及 重要 设 
备 , 则 应 实时 进行 监控 ,如 网 络 吞 吐 量 分 析 等 。 


7.1.3 解决 方案 


对 于 当前 网 络 中 网 络 流量 和 流量 监控 需求 ,可 使 用 如 下 方案 解决 。 

(1) 使 用 以 太 网 带宽 测试 (Ping Plotter Freeware) 对 网 络 质量 进行 测试 。 而 对 于 无 线 
网 络 间 的 带宽 测试 , 则 可 以 使 用 无 线 网 带宽 测试 工具 (IxChariot) 完 成 。 

(2) 对 网 络 流量 的 监控 和 分 析 , 可 以 通过 流量 统计 分 析 利 器 (CommView) 和 网 络 流量 
实时 监控 (MRTG) 完 成 。 
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(3) 网 络 吞 吐 量 分 析 则 可 能 通过 Qcheck 和 SolarWinds 完成 。 如 果 是 在 两 个 计算 机 之 
间 测 试 , 可 以 使 用 Qcheck, 如 果 是 测试 网 络 中 的 设备 , 则 可 以 使 用 SolarWinds 。 


7.2 网络 带宽 监控 与 分 析 


影响 网 络 带宽 的 因素 主要 是 网 络 线路 ,通常 情况 下 ,在 网 络 建设 完成 之 初 ,因为 设计 的 
原因 ,网 络 带宽 都 会 满足 网 络 的 需求 。 但 随 着 网 络 使 用 时 间 的 不 断 增长 ,因为 线路 老化 或 干 
扰 等 原因 ,可 能 会 对 网 络 带宽 产生 影响 。 因 此 ,需要 使 用 网 络 带 宽 测试 工具 测试 网 络 带 宽 ， 


以 时 刻 掌 握 网 络 带宽 的 具体 情况 。 


7.2.1 以 太 网 带宽 测试 一 一 PingPlotter Pro 


PingPlotter 是 一 款 多 线性 的 跟踪 路 由 程序 ,能 最 快 地 显示 当前 网 络 出 现 的 问题 。 
PingPlotter 的 功能 类 似 于 Windows 中 的 Tracert 命令 ,但 与 其 所 不 同 的 是 ,该 工具 具有 信 
息 同 时 反馈 的 速度 优势 ,并 且 PingPlotter 不 仅 可 以 以 数据 方式 显示 ,还 可 以 以 图 形 方式 显 
示 。 与 其 他 检测 分 析 工 具 相 比 ,检测 分 析 结 果 更 为 直观 和 易于 理解 。PingPlotter 可 从 其 官 
方 网 站 下 载 ,地 址 为 : http://www. pingplotter. com/ ,分 为 标准 版 和 专业 版 两 种 ,可 运行 于 
Windows 9x/NT/2000/XP/2003/Vista/2008 等 操作 系统 ,这 里 以 PingPlotter Pro 为 例 。 

PingPlotter Pro 下 载 并 安装 完成 以 后 运行 ,显示 图 7-1 所 示 的 PingPlotter Pro 窗口 。 
在 Address to Trace 文本 框 中 ,输入 要 追踪 路 由 的 域名 或 IP 地 址 ; 在 并 of times to trace 文 
本 框 中 ,设置 追踪 时 间 ,默认 为 Unlimited ,表示 一 直 追 踪 下 去 ; 在 Trace Interval 文本 框 中 ， 
设置 追踪 的 间隔 时 间 ,默认 为 15seconds; 在 Samples to include 文本 框 中 ,设置 采样 数量 ， 
默认 是 10 个 。 
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图 7-1 PingPlotter Pro 窗口 


这 里 以 查看 追踪 到 百度 网 站 时 所 经 过 的 路 由 为 例 。 在 Address to Trace 文本 框 中 输入 
网 址 : www. baidu. com , 单 击 Trace 按钮 ,PingPlotter Pro 即 可 开始 追踪 百度 网 站 ,并 在 窗 
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口 右 侧 显示 www. baidu. com 的 图 形 表 ,如 图 7-2 所 示 。 从 表 中 可 以 查看 所 追踪 网 址 的 名 
称 和 解析 出 来 的 IP 地 址 ,在 中 间 的 节点 列表 中 ,显示 了 从 本 地 计算 机 到 目标 主机 所 经 过 的 


IP 地 址 .DNS 域名 、 此 主机 的 平均 响应 时 间 (Avg) 、 到 目标 主机 丢失 的 数据 包 数 ,通过 该 曲 
线 图 就 可 以 看 出 网 络 出 现 的 问题 。 
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图 7-2 测试 结果 


在 追踪 路 由 时 ,会 以 不 同 的 颜色 显示 所 经 过 的 路 由 的 状态 ,在 窗口 右上 角 显 示 了 不 同 颜 
色 代 表 的 不 同 响应 时 间 , 例 如 ,在 该 图 中 ,经 过 的 路 由 以 红色 显示 ,表示 该 路 由 处 于 堵塞 状 
态 , 以 致 发 到 目标 主机 的 数据 包 在 这 里 丢 包 严重 ,影响 了 数据 的 传递 。 如 果 显示 为 绿色 , 则 
表示 速度 良好 。 

提示 : 在 测试 时 ,应 多 连接 一 些 国 内 外 的 各 大 网 站 以 进行 比较 ,从 而 知道 自己 的 网 络 状 
况 到 底 如 何 。 

在 使 用 PingPlotter 测试 时 ,可 以 将 当前 的 测试 结果 以 图 形 或 文本 的 形式 保存 起 来 ,以 
便 日 后 比较 查看 。 依 次 选择 File>Save Image 命令 , 即 可 将 当前 测试 结果 保存 成 图 片 文件 ， 
选择 Export to Text File 命令 则 可 将 测试 结果 输出 到 文本 文件 。 

在 Edit 菜单 中 ,选择 Copy as Image 或 Copy as Text 命令 ,分 别 可 以 把 当前 窗口 的 图 
形 格式 或 文本 格式 复制 到 剪贴 板 中 。 选 择 Options 命令 , 则 显示 图 7-3 所 示 的 Options 对 话 
框 ,可 以 对 PingPlotter 进行 设置 ,如 显示 方式 ,保存 方式 和 更 改 路 由 等 。 

小 知识 : PingPlotter 与 Tracert 命令 相 比 ,界面 直观 且 信 息 反馈 速度 更 快 。 通 过 利用 
国内 外 一 些 大 网 站 进行 测试 ,可 以 综合 地 评价 一 家 运营 商 的 宽带 网 络 质量 ,中 间 所 经 过 的 节 
点 越 少 越 好 ,然后 结合 其 他 指标 , 即 可 比较 出 哪 一 家 运营 商 的 宽带 接 入 质量 比较 好 。 


7.2.2 无 线 网 带宽 测试 工具 


由 于 具有 灵活 性 、 使 用 简单 等 特点 ,无 线 网 络 被 广泛 应 用 于 许多 家 庭 , 小 型 办 公 室 ,酒店 
及 一 些 不 易 布 线 的 场所 。 而 周围 存在 各 种 电磁 波 会 干扰 无 线 网 络 的 传输 ,为 了 了 解 无 线 网 
络 的 带宽 情况 ,需要 使 用 一 些 专用 的 无 线 网 络 测试 工具 ,例如 IxChariot 就 可 以 帮助 用 户 测 
试 出 网 络 带宽 。 


IxChariot 


© 
9 
“第 7 章 “网 络 流量 和 流量 监控 与 分 析 。 253 


amonseae FO ne eater we es 
empnHegyt 7 pus Maenweoiessman FY poes 


pe 记 ” ] co 


图 7-3 Options 对 话 框 


1.IxChariot 概述 

IxChariot 是 美国 NetIQ 公司 推出 的 一 款 网 络 测试 软件 ,可 以 在 各 种 网 络 环境 下 测量 两 
台 计 算 机 之 间 的 连通 带宽 。IxChariot 通过 主动 式 定量 的 测试 方式 ,产生 真实 的 流量 ,测试 
网 络 设备 或 网 络 系统 在 真实 应 用 时 端 到 端的 性 能 。IxChariot 可 广泛 适用 于 IP 网 络 及 网 络 
设备 应 用 层 性 能 测试 ,比如 VOIP、IPv6、 故 障 检测 .QoS、GPRS 的 IP 应 用 测试 等 。 

IxChariot 附带 各 种 测试 脚本 ,可 以 测试 网 络 中 的 数据 流量 、 响 应 时 间 以 及 数据 吞吐 量 
等 信息 。IxChariot 的 测试 脚本 可 以 分 为 Internet Scripts、Benchmark Scripts、Business 
Scripts、Streaming Scripts 等 几 大 类 ,而 在 每 一 类 测试 中 又 针对 不 同 的 应 用 而 设置 了 相应 的 
脚本 ,例如 ,公司 欲 进行 视频 会 议 , 就 可 以 通过 Streaming Scripts 中 的 NetMeeting Scripts 
测试 网 络 性 能 ; 而 对 于 邮件 系统 则 可 以 使 用 Lotus Notes 或 cc:Mail Script。 

2. 测量 无 线 网 的 单 向 网 速 

这 里 以 测量 无 线 网 络 中 的 两 台 计 算 机 之 间 的 带宽 为 例 进 行 介绍 ,这 两 台 计算 机 的 IP 地 
址 分 别 为 192.168. 1.6 和 192. 168. 1. 8。 

首先 ,需要 在 这 两 台 计 算 机 上 均 安 装 IxChariot; 另外 ,为 了 得 到 更 准确 的 值 , 建 议 在 测 
试 的 两 台 计算 机 上 均 关闭 防火 墙 ,并 关闭 正在 运行 的 其 他 程序 。 

(1) 依次 选择 “开始 ”一 “程序 ”>IxChariot>IxChariot 
Console 命令 ,运行 IxChariot 程序 ,显示 图 7-4 所 示 的 
IxChariot 窗口 。 在 IxChariot 窗口 左 侧 有 4 个 按钮 : 单 击 
New 按钮 可 新 建 一 个 测试 ; 单 击 Open 按钮 可 打开 以 前 保 
存 过 的 测试 文件 ; 单 击 Design 按钮 则 可 查看 各 种 按钮 的 
使 用 说 明 ; 单 击 Help 按钮 提供 帮助 。 

(2) 单 击 New 按钮 .显示 图 7-5 所 示 的 IxChariot 图 7-4 ”IxChariot 主 窗口 
Test 窗口 ,在 该 窗口 中 可 创建 新 端点 并 进行 测试 。 

(3) 由 于 是 要 测试 两 点 之 间 的 吞吐 量 ,因此 , 单 击 工具 栏 上 的 国 按 钮 ,显示 图 7-6 所 示 
的 Add an Endpoint Pair 对 话 框 。 在 Pair comment 文本 框 中 ,输入 测试 名 称 ; 在 Endpoint 
1 to Endpoint 2 选项 区 域 中 ,分 别 输入 两 台 计算 机 的 IP 地 址 ; 在 Network protocol 下 拉 列 
表 框 中 选择 所 使 用 的 协议 ,默认 使 用 TCP 协议 即 可 。 
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Results are not available for graphing. 


| 


图 7-5 IxChariot Test 图 7-6 Add an Endpoint Pair 对 话 框 


(4) 单 击 Select Script 按钮 ,显示 图 7-7 所 示 的 Open a Script File 对 话 框 ,选择 一 个 测 
试 脚 本 。 测 试 两 点 间 的 带宽 ,也 就 是 通过 测试 两 点 之 间 的 吞吐 量 来 得 出 带宽 值 ,因此 ,选择 
IxChariot 自 带 的 Throughput 脚本 即 可 。 

(5) 单 击 Open 按钮 ,返回 Add an Endpoint Pair 对 话 框 , 单 击 OK 按钮 ,完成 新 测试 的 创 
建 ,并 添加 到 IxChariot Test 窗口 的 Test Setup 列表 框 中 。 重 复 操作 ,可 创建 多 个 测试 。 

(6) 单 击 国 按 钮 ,IxChariot 即 可 开始 测试 两 台 计 算 机 间 的 带宽 。 此 时 ,在 Throughput 
区 域 以 图 表 方 式 列 出 了 不 同时 间 段 的 数据 包 发 送 时 的 值 , 如 图 7-8 所 示 。 
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图 7-7 Open a Script File 对 话 框 7-8 测试 结果 


注意 : 在 测试 时 ,必须 将 IxChariot 窗口 拉 伸 到 足够 大 ,如 果 窗 口 太 小 则 不 能 显示 图 形 界 
面 ,并 会 提示 This region is too small to show a graph. Maximize or resize this application , 
此 时 只 要 将 窗口 最 大 化 即 可 。 

(7) 选择 Throughput 选项 卡 .在 该 窗口 中 显示 了 测试 时 的 详细 数值 ,如 Average( 平 
均值 )、Minimum( 最 小 值 ) 和 Maximun( 最 大 值 ) 等 ,如 图 7-9 所 示 。IxChariot 通过 测试 
100 个 数据 包 从 一 台 计算 机 发 送 到 另 一 台 计 算 机 所 使 用 的 速率 ,计算 平均 值 , 来 得 出 两 点 
之 间 的 带宽 。 需 要 注意 的 是 ,由 于 无 线 带 宽 的 损耗 ,往往 测量 得 到 的 真实 带宽 要 比 标 称 
值 小 一 些 。 
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图 7-9 _ Throughput 选项 卡 


注意 : IxChariot 通过 统计 一 个 预定 长 度 和 格式 的 脚本 文件 无 差错 地 从 一 台 服务 器 传 
送 到 另 一 台 服 务 器 的 时 间 来 计算 出 路 由 器 的 吞吐 量 ,因此 ,计算 机 性 能 的 好 坏 也 影响 着 测 
试 值 。 

3. 测量 无 线 网 双 工 方式 时 的 网 速 

由 于 单 双 工 模式 因为 自身 设计 的 原因 ,会 严重 影响 网 速 ,所 以 目前 几乎 所 有 的 网 卡 和 集 
线 设 备 均 支 持 全 双 工 模式 。 对 网 络 带宽 的 测试 ,不 能 仅仅 局 限于 从 一 台 计算 机 到 另 一 台 计 
算 机 的 网 络 带宽 。 所 以 在 使 用 IxChariot 进行 测试 时 ,尽量 使 用 全 双 工 模式 进行 测试 。 

(1) 在 一 台 测 试 机 上 运行 IxChariot 程序 , 单 击 IxChariot 窗口 中 的 New 按钮 ,打开 
IxChariot Test 窗口 。 

(2) 依次 选择 Edit->Add Pair 命令 ,创建 一 个 新 测试 。 在 Endpoint 1 network address 
文本 框 中 ,输入 IP 地 址 192. 168. 1.6; 在 Endpoint 2 network address 文本 框 中 ,输入 IP 地 
址 192. 168. 1.8; 然后 单 击 Select Script 按钮 选择 Throughput 脚本 。 

(3) 由 于 要 求 测量 网 络 双向 吞吐 量 , 所 以 还 需要 再 添 
加 一 个 反 向 的 测试 。 单 击 Add Pair 按钮 再 创建 一 个 测试 ， 
在 Endpoint 1 to network address 文本 框 中 ,输入 IP 地 址 
192. 168. 1. 8; 在 Endpoint 2 to network address 文本 框 
中 ,输入 IP 地 址 192. 168. 1. 6 , 单 击 Select Script 按钮 选 
择 Throughput 脚本 ,如 图 7-10 所 示 。 rr 

(4) 单 击 OK 按钮 ,完成 两 个 测试 的 添加 。 CE ew ee 

(5) 单 击 Run 按钮 即 可 开始 测试 ,测试 完成 以 后 ,在 图 7-10 ”建立 双向 测试 
图 表 中 不 同 颜色 的 曲线 代表 不 同 的 测试 点 ,如 图 7-11 
所 示 。 

(6) 测试 完成 后 选择 Throughout 选项 卡 , 即 可 查看 具体 测量 的 带宽 值 , 如 平均 值 .最 小 
值 和 最 大 值 等 ,如 图 7-12 所 示 。 通 过 查看 这 些 数据 ,可 以 了 解 网 络 带宽 的 质量 。 另 外 ,为 了 
求 得 更 精确 的 值 ,建议 多 测试 几 次 。 

在 测试 无 线 带 宽 的 同时 ,也 能 测试 无 线路 由 器 的 性 能 优 劣 。 如 果 路 由 器 本 身 性 能 较 差 ， 


@。。 
256 网 络 管理 与 工具 软件 应 用 


Throughput 


Ei MW 
三 人 HE 


Elapzed tine (hrmasza) 


图 7-12 测量 结果 


在 只 有 一 对 连接 时 测试 所 得 出 来 的 数据 ,虽然 测试 值 可 能 会 比较 高 ,但 并 不 代表 无 线路 由 器 
性 能 也 高 。 因 此 ,测试 时 应 使 无 线路 由 器 多 连接 一 些 计算 机 ,只 有 在 多 连接 的 情况 下 还 能 得 
出 较 高 的 测试 值 时 , 才 说 明 该 无 线路 由 器 性 能 比较 好 。 

4. 提高 测量 准确 性 

因为 网 络 每 时 每 刻 都 在 发 生 着 变化 ,因此 每 次 所 测量 得 到 的 结果 是 不 相同 的 。 通 常情 
况 下 ,为 了 使 测量 结果 更 加 接近 于 真实 数值 ,需要 进行 多 次 测量 ,从 而 得 到 多 次 测量 的 平 
均值 。 

(1) 多 对 Pair 测量 法 

多 对 Pair 测量 法 ,是 将 创建 的 一 对 Pair 复制 多 份 ,使 IxChariot 同时 测量 所 有 的 Pair。 
这 种 方式 一 般 用 来 测试 网 络 不 稳定 、 经 常 出 现 速 度 波动 的 情况 。 通 过 采用 平均 值 , 将 所 有 测 
量 值 汇总 在 一 起 即 可 得 到 更 接近 真实 数值 的 结果 。 使 用 多 对 测量 的 方法 在 一 定 程度 可 减少 
误差 ,使 得 测量 结果 更 加 准确 。 


Q@ 打开 IxChariot 程序 ,在 IxChariot Test 窗口 中 , 单 击 Add an Endpoint Pair 按钮 , 创 
建 一 个 Pair, 并 根据 需要 选择 Throughput 脚本 。 

@ 创建 完成 以 后 ,在 IxChariot Test 窗口 中 右 击 新 建 的 Pair, 在 快捷 菜单 中 选择 Copy 
命令 ,然后 再 右 击 并 在 快捷 菜单 中 选择 Paste 命令 ,将 复制 的 Pair 粘贴 多 份 ,如 图 7-13 
所 示 。 
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Results are not available for graphing. 


图 7-13 将 Pair 复制 多 份 


@ 单 击 Run 按钮 , 即 可 开始 测试 ,IxChariot 会 测试 每 对 的 带宽 值 , 将 这 些 测 量 结果 相 
加 所 得 到 的 值 , 就 是 带宽 的 真实 值 , 并 显示 在 All Pairs 行 中 ,如 图 7-14 所 示 。 在 曲线 图 形 
表 中 分 别 用 不 同 颜色 的 曲线 表示 每 对 Pair 的 测试 情况 。 
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图 7-14 测试 结果 


(2) 大 数据 包 测量 法 

默认 情况 下 ,测量 数据 包 大 小 只 有 100KB, 当 在 网 络 带宽 比较 大 的 网 络 中 进行 测量 时 ， 
其 所 得 到 的 测量 结果 是 不 太 准确 的 。 为 了 提高 测量 的 精确 度 ,需要 修改 默认 数据 包 的 大 小 ， 
使 测量 结果 更 准确 。 
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Oa 在 IxChariot Test 窗口 中 , 单 击 Add an Endpoint Pair 按钮 ,创建 一 个 Pair。 单 击 


Select Script 按钮 ,选择 Throughput 脚本 。 然 后 , 单 击 Edit This Script 按钮 ,显示 图 7-15 
所 示 的 Script Editor - Throughput. scr 窗口 。 
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图 7-15 Script Editor - Throughput. scr 窗口 


@ 在 下 方 窗 格 中 右 击 file_size 字段, 在 快捷 菜单 中 选择 Edit 命令 ,显示 图 7-16 所 示 的 
Edit Variable - file_size 对 话 框 , 在 Current value 文本 框 中 显示 的 就 是 该 脚本 文件 的 大 小 ， 
以 字 节 (byte) 为 单位 ,默认 为 100000, 即 100KB。 修 改 该 数值 即 可 ,例如 改 成 10000000， 
即 10MB。 

@ 单 击 OK 按钮 ,保存 修改 并 关闭 Script Editor - Throughput. scr 对 话 框 ,显示 图 7-17 所 
示 的 提示 框 ,提示 是 否 保存 对 Throughput. scr 文件 的 修改 。 


图 7-16 改变 数据 包 的 大 小 图 7-17 提示 框 


@ 单 击 Yes 按钮 保存 ,返回 Add an Endpiont Pair 对 话 框 , 单 击 OK 按钮 。 
@ 单 击 Run 按钮 , 即 可 使 用 设置 好 大 小 的 数据 包 进行 带宽 测试 。 当 然 ,数据 包 越 大 , 测 
试 所 需 的 时 间 也 就 越 长 。 


7.3 网 络 流量 监控 与 分 析 


无 论 网 络 性 能 有 多 好 ,都 有 可 能 因为 某 些 用 户 滥用 网 络 资源 ,导致 网 络 性 能 下 降 ,其 至 
网 络 竣 痪 。 因 此 ,管理 员 应 时 刻 关注 网 络 中 的 流量 情况 ,保证 用 户 可 以 充分 、 合 理 地 利用 网 
络 资源 ,杜绝 用 户 对 网 络 资源 的 恶意 占用 。 
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7.3.1 流量 统计 分 析 利 器 


CommView 是 一 款 功能 强大 的 工具 ,可 以 用 来 捕获 Internet 和 局 域 网 中 传输 的 数据 ， 
收集 网 络 传输 中 的 每 个 信息 包 ,也 可 以 显示 信息 包 和 网 络 连接 列表 ,关键 统计 信息 .协议 分 
布 图 等 重要 信息 ,并 可 显示 内 部 及 外 部 IP 地 址 、 端 口 、 主 机 名 称 、 各 种 数据 的 数量 等 重要 资 
料 。 管 理 员 可 以 分 析 各 种 IP 协议 ,分 析 网 络 性 能 。CommView 的 过 滤器 功能 还 可 以 只 过 
滤 需 要 的 数据 包 。CommView 可 以 运行 于 Windows 9x/NT/2000/XP/Vista 等 操作 系统 ， 
用 户 可 以 从 其 官方 网 站 (http://www. tamos. com/) 上 下 载 。 

1. CommView 的 安装 与 运行 

通常 情况 下 ,为 了 使 CommView 能 够 捕获 到 网 络 中 的 数据 ,建议 将 其 安装 在 网 络 的 网 
关 计 算 机 上 ,如 安装 代理 服务 器 。 如 果 网 络 使 用 路 由 器 , 则 应 使 用 端口 映射 ,将 路 由 器 端口 
映射 到 CommView 计算 机 上 即 可 。CommView 的 安装 操作 比较 简单 ,大 部 分 操作 只 需 单 
击 Next 按钮 即 可 ,这 里 就 不 再 袭 述 。 

(1) 双击 桌面 上 的 CommView 图 标 运行 软件 , 显 opmiee wl ow neal he reert Th wl toke baweeen 10 
示 图 7-18 所 示 的 对 话 框 。 提 示 需 要 安装 CommView es Se 
驱动 程序 。 ED 

(2) 单 击 “确定 ”按钮 , 即 可 完成 安装 。 安 装 完 
成 后 ,显示 图 7-19 所 示 的 对 话 框 ,询问 是 否 安装 
RAS 拨 号 适配器 , 单 击 “ 是 ”按钮 安装 , 单 击 “ 否 "按钮 则 不 安装 。 

(3) 单 击 “ 否 ”按钮 ,显示 图 7-20 所 示 的 提示 框 ,显示 欢迎 信息 。 


CommView 


图 7-18 提示 安装 CommView 驱动 程序 
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图 7-19 提示 安装 RAS 拨号 适配器 图 7-20 欢迎 界面 


(4) 单 击 Start Using CommView 链接 ,显示 CommView 主 窗口 ,如 图 7-21 所 示 。 

如 果 当 前 计算 机 安装 了 多 个 网 卡 ,各 个 网 卡 连接 不 同 的 网 段 , 则 应 先 从 工具 栏 上 的 下 拉 
列表 框 中 选择 与 要 监控 的 网 络 相 连 的 网 卡 , 这 样 才能 正确 地 捕获 网 络 中 的 数据 。 

2. 捕获 并 分 析 网 络 数据 

CommView 可 以 捕获 局 域 网 中 所 有 计算 机 与 外 部 网 络 间 传输 的 数据 ,通过 分 析 这 些 数 
据 , 管 理 员 可 以 清楚 地 了 解 到 网 络 的 运行 状况 ,如 果 网 络 出 现 了 故障 ,还 可 以 迅速 找 出 故障 
所 在 。 

(1) 在 CommView 窗口 中 , 单 击 工具 栏 上 的 Start Capture 按钮 ,或 选择 File 菜单 中 的 
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图 7-21 CommView 窗口 


Start Capture 命令 ,CommView 便 开始 捕获 网 络 内 传输 的 数据 ,如 图 7-22 所 示 。ComView 
捕获 的 数据 信息 非常 详细 ,Latest IP Connections 选项 卡 中 显示 了 各 个 网 络 连接 的 各 种 信 
息 ,包括 本 地 IP 地 址 (Local IP) .远程 地 址 (Remote IP) 、 传 入 的 数据 量 (In) 、 传 出 的 数据 
量 (Out)、 数 据 传输 方向 (Direction)、 会话 时 间 (Sessions)、 端口 (Ports)、 主 机 
名 (Hostname) ,传输 字 节 数 (Bytes) ,使 用 的 进程 名 称 (Process)。 另 外 ,还 会 以 国旗 的 方式 
显示 远程 IP 地 址 所 在 的 国籍 。 
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图 7-22 捕获 数据 


(2) 当 捕 获 到 一 定 的 数据 后 , 单 击 工具 栏 上 的 Stop Capture 按钮 即 可 停止 捕获 ,此 时 即 
可 对 所 捕获 到 的 数据 进行 分 析 。 通 过 这 些 信息 .管理 员 可 以 清楚 地 看 到 网 络 中 哪 台 计算 机 
正在 与 外 部 网 络 的 哪些 地 址 进行 通信 ,有 哪些 可 疑 端口 正在 使 用 等 ,从 而 迅速 地 找到 问 


题 所 在 ,例如 ,通过 查看 端口 即 可 得 知 ,使 用 8000、4000 端口 的 用 户 正在 使 用 QQ ,端口 为 
mirosoft-ds 则 表示 用 户 正在 访问 共享 文件 。 

(3) 选择 Packets 选项 卡 ,在 这 里 可 以 看 到 每 个 数据 包 的 详细 信息 。 此 处 共 分 为 3 个 窗 
格 , 最 上 面 的 窗 格 中 显示 了 传输 数据 的 源 地 址 和 目的 地 址 的 网 卡 MAC 地 址 、 端 口 以 及 时 
间 。 中 间 的 窗 格 为 "Hex 窗 格 ”, 这 里 是 以 十 六 进 制 代码 显示 的 信息 ,如 图 7-23 所 示 。 在 
MAC Addresses 列表 中 ,不仅 显 示 网 卡 的 MAC 地 址 ,也 显示 了 网 卡 的 型 号 或 名 称 。 
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图 7-23 ”Packets 选项 卡 


最 下 面 的 窗 格 中 显示 了 所 使 用 的 传输 协议 的 详细 信息 ,也 是 网 络 管理 员 最 需要 注意 的 
地 方 。 在 Ethernet 选项 区 域 中 ,显示 信息 (如 图 7-24 所 示 ) 主 要 包括 如 下 内 容 。 

(1) Destination MAC: 目的 地 址 网 卡 的 物理 地 址 。 

(2) Source MAC: 源 地 址 网 卡 的 物理 地 址 。 

(3) Ethertype: 以 太 网 类 型 。 
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图 7-24 Ethernet 选项 区 域 
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(4) Direction: 数据 包 传 输 方向 。 

(5) Date: 数据 传输 日 期 ,Time 中 显示 的 则 是 传输 的 时 间 。 

(6) Frame size: 每 个 帧 的 大 小 。 

(7) Frame number: 帧 的 总 数量 。 

在 Ethernet 选项 区 域 下 面 是 IP 列表 ,显示 的 IP 文件 头 信息 (如 图 7-25 所 示 ) 主 要 包括 


如 下 内 容 。 


Fle Search View Tools Setings Rules Help 
BD [mm prono0o MT Network Connecion -| 

况 | 沁 日 - 访 -| 久 晤 | 名 爽 六 | 里 里 必 

[to ees P coonecons | © saciets | vo? [ino0ng | @ rules [ly Alorms | 
No « Protocol Sre MAC DestMAC 


90 m673 on /9330 pass AoE Of — Rules: ONf — Alarms: Of —100% CPU Uf 


图 7-25 IP 文 件 头 信息 


(1) IP version: 以 十 六 进 制 显示 所 使 用 的 IP 版 本 号 ,这 里 为 4, 即 所 使 用 的 IP 版 本 号 
为 IPv4, 如 果 为 6 则 表示 是 IPv6。 

(2) Header length: Internet 文件 头 的 长 度 ,为 20 个 字 节 。 

(3) Flags: 数据 报 的 “标记 ”功能 ,例如 ,数据 报 分 段 用 0 标记 ,未 分 段 用 1 标记 。 

(4) Fragment offset( 分 段 差距 ): 用 来 说 明 某 个 区 段 属于 数据 包 的 哪个 部 分 。 分 段 差 
距 为 0 个 字 节 。 可 以 设 定 0 代表 最 后 一 段 .或 者 设 定 1 代表 更 多 区 段 。 此 处 值 为 0。 

(5) Time to live: 数据 包 的 生存 时 间 , 表 示 TTL 值 的 大 小 ,说 明 一 个 数据 包 可 以 保存 
多 久 。 

(6) Protocol: 数据 所 使 用 的 协议 。 

(7) Checksum( 校 验 和 ): 校 验 和 (只 在 这 个 文件 头 中 使 用 ) 的 值 ,并 且 已 经 做 了 标记 , 表 
明 这 个 数值 是 正确 的 。 

(8) Destination IP: 数据 访问 的 目的 地 址 。 

(9) Source address: 数据 的 来 源 地 址 。 

在 IP 文 件 头 信息 下 面 为 协议 信息 ,根据 所 捕获 的 数据 不 同 ,显示 TCP、UDP 或 ICMP 
文件 头 信息 等 。 在 TCP 协议 中 的 显示 信息 (如 图 7-26 所 示 ) 主 要 包括 如 下 内 容 。 

(1) Source port: 使 用 TCP 协议 的 网 络 连接 的 源 端口 。 

(2) Destination port: 使 用 TCP 协议 的 网 络 连 接 的 目的 端口 。 

(3) Sequence: 该 帧 的 排列 顺序 。 

(4) Acknowledgement: 该 帧 的 应 答 信息 。 
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图 7-26 ”TCP 文件 头 信息 


(5) Header length: 该 TCP 协议 的 头 长 度 。 
(6) Checksum: TCP 文件 头 校 验 和 的 值 。 
如 果 所 使 用 的 协议 为 UDP, 则 在 下 方 会 显示 UDP 文件 头 信息 ,如 图 7-27 所 示 。 
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7-27 UDP 文 件 头 信息 


(1) Source port: 使 用 UDP 协议 的 网 络 连接 的 源 端口 。 

(2) Destination port: 使 用 UDP 协议 的 网 络 连接 的 目的 端口 。 

(3) Length: UDP 文件 头 的 长 度 。 

(4) Checksum: UDP 协议 校 验 和 的 值 。 

通过 对 协议 信息 进行 分 析 ,网 络 管理 员 可 以 了 解 网 络 状 况 及 数据 来 源 。 

3. 查看 网 络 传输 状态 

在 捕获 数据 的 过 程 中 ,不 仅 可 以 查看 网 络 中 各 人 台 计 算 机 所 传输 的 数据 包 , 还 能 以 图 形 方 


式 查看 网 络 中 各 种 协议 的 使 用 状况 及 数据 传输 状态 ,并 根据 这 些 数据 分 析 网 络 中 是 否 有 里 
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虫 \ 木 马 或 网 络 风暴 占用 带宽 ,从 而 迅速 找 出 网 络 故障 发 生 的 原因 。 


当 捕 获 数据 完成 以 后 ,依次 选择 View->Statistics 命令 ,或 者 单 击 工具 栏 上 的 Statistics 
按钮 ,显示 图 7-28 所 示 的 Statistics 窗口 。 默 认 在 左 侧 列表 中 选中 General 选项 ,在 这 里 以 
图 形 形 式 显示 了 网 络 的 使 用 状况 ,如 数据 包 的 传输 速率 (Packets per second) 当前 传输 的 
字 节 数 (Bytes per sec. )、 网络 利用 率 (Current network utilzation) 等 ,并 在 最 下 方 的 Total 
中 显示 了 传输 的 数据 包 总 数 (packets) 和 字 节 总 数 (bytes) ,这 些 信息 的 显示 比 单纯 的 数值 方 


式 更 清楚 。 


图 7-28 查看 网 络 传输 状态 


在 左 侧 列表 中 选择 Packets 选项 , 即 可 查看 各 种 数据 包 协 议 的 传输 状态 。 在 Packets 


Protocols 窗口 中 ,以 圆 饼 图 显示 了 各 种 协议 的 使 用 状态 ,如 图 7-29 所 示 。 


Estatetcs al] 


图 7-29 协议 使 用 情况 


使 用 不 同 的 颜色 
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代表 不 同 的 协议 ,如 IP、ARP、NetBIOS、IPX 等 协议 。 根 据 这 些 协议 的 使 用 率 , 就 可 以 了 解 
网 络 传输 状态 ,例如 ,网 络 中 网 速 特别 慢 ,而 在 该 窗口 中 发 现 ARP 使 用 率 特别 高 ,这 就 有 可 
能 是 网 络 风暴 所 致 ,必须 及 时 解决 故障 。 

在 Protocols 列表 中 选择 IP Protocols 选项 ,显示 了 TCP、UDP、ICMP 和 IGMP 等 协议 


的 利用 率 , 如 图 7-30 所 示 。 
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图 7-30 ”IP Protocols 选项 


在 Protocols 列表 中 选择 IP Sub-protocols 选项 ,显示 了 各 种 网 络 服务 的 使 用 情况 ,如 
HTTP、FTP、POP3、SMTP、Telnet、NNTP,、 NetBIOS、HTTPS 和 DNS 服务 等 ,如 图 7-31 


所 示 。 
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图 7-31 IP Sub-protocols 选项 
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在 Protocols 列表 中 选择 Sizes 选项 ,显示 了 各 种 不 同 字 节 的 数据 包 的 传输 情况 ,包括 


小 于 64B,.66 一 127B、128 一 255B、256 一 511B.56 一 1023B 以 及 大 于 1024B 的 数据 包 , 如 
图 7-32 所 示 。 
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图 7-32 Sizes 选项 


在 左 侧 列表 中 选择 Hosts By MAC 选项 ,显示 了 各 个 网 卡 的 MAC 地 址 ,并 列 出 了 各 个 
网 卡 所 发 送 和 接收 的 数据 包 、 字 节 数 量 , 如 图 7-33 所 示 。 
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图 7-33 Hosts By MAC 选项 


在 左 侧 列表 中 选择 Matrix 选项 ,然后 选择 By IP 选项 ,将 以 矩阵 方式 列 出 当前 网 络 中 
有 哪些 IP 地 址 正在 连接 ,如 图 7-34 所 示 , 并 且 使 用 连 线 将 正在 连接 的 计算 机 连接 起 来 , 便 
于 管理 员 查 看 。 默 认 情 况 下 ,矩阵 中 只 显示 10 个 活动 最 多 的 节点 ,如 果 想 多 显示 一 些 , 可 以 
在 Most active pairs 文本 框 中 输入 欲 设 置 的 值 。 默 认 没 有 显示 广播 和 多 播 的 连接 ,如 果 想 
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图 7-34 查看 IP 地址 连接 情况 


显示 这 些 内 容 , 取 消 选中 Ignore broadcasts 和 Ignore multicasts 复 选 框 即 可 

在 Errors 窗口 中 显示 了 网 络 中 错误 的 传输 数据 ; Report 窗口 中 可 将 当前 捕获 结果 作 
为 报告 ,输出 成 HTML 网 页 格式 进行 保存 

通过 端口 可 以 更 容易 了 解 到 某 个 连接 正在 干 什 rss 
么 ,但 如 果 不 知道 某 个 端口 的 作用 以 及 端口 会 被 哪些 人 : 
协议 使 用 ,可 选择 View 菜单 中 的 Port Reference( 端 
口 参 考 ) 命 令 , 显 示 图 7-35 所 示 的 Port Reference 窗 

,在 该 窗口 中 列 出 了 大 部 分 常用 端口 的 信息 ,例如 

个 端口 所 使 用 服务 ,协议 等 ,在 分 析 网 络 数据 时 可 作 
为 参考 。 

4, 设置 过 滤器 

CommView 虽然 可 以 捕获 网 络 中 的 所 有 数据 ,但 
有 许多 数据 并 不 是 所 需要 的 ,通过 设置 过 滤器 ,可 以 根据 过 滤器 中 设 定 的 条 件 , 只 捕获 特定 
的 数据 ,便于 管理 员 查 看 分 析 

(1) 自 定义 过 滤器 

通过 自 定义 过 滤器 ,可 以 捕获 网 络 中 管理 员 所 关心 的 数据 ,从 而 解决 某 些 具有 针对 性 的 
问题 ,例如 广播 风暴 等 。 

QO 在 CommView 窗口 中 ,选择 图 7-36 所 示 的 Rules 选项 卡 , 在 左 侧 列表 中 默认 选择 
Advanced Rules 选项 ,在 右 侧 栏 中 选中 Enable advanced rules 复 选 框 ,启动 过 滤器 功能 。 

@ 在 Add/Edit Record 选项 区 域 中 ,选中 Capture packets(inclusive) 单 选 按钮 , 即 只 捕 
获 符合 该 规则 的 数据 包 , 如 图 7-37 所 示 。 如 果 选 中 Ignore packets(Cexclusive) 单 选 按钮 , 则 
不 捕获 该 规则 中 的 数据 包 。 在 Name 文本 框 中 .输入 新 规则 的 名 称 , 在 Formula 文本 框 中 ， 
编写 该 规则 的 公式 ,主要 是 设置 要 捕获 哪些 IP 地 址 传输 的 数据 ,例如 ,在 Formula 文本 框 
中 ,输入 sip 二 192.168. 1. 77 and dip 二 192. 168. 1. 10 ,表示 捕获 源 地 址 为 192. 168. 1. 77 与 
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图 7-36 ”添加 过 滤器 
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图 7-37 编辑 公式 


目的 地 址 为 192. 168. 1. 10 传输 的 数据 。 其 中 ,sip 表示 源 地 址 ,dip 表示 目的 地 址 ,多 个 条 件 
可 使 用 逻辑 关系 来 连接 ,如 and 、or、not 等 。 

加 单 击 Add/Edit 按钮 , 即 可 将 该 规则 添加 到 规则 列表 中 ,还 可 以 设置 详细 的 条 件 。 

@ 设置 完成 以 后 不 需 保存 即 可 生效 ,如 果 想 删除 某 个 已 添加 的 规则 , 右 击 该 规则 ,在 快 
捷 菜 单 中 选择 Clear Select 命令 即 可 。 

@ 设置 完成 后 单 击 Start Capture 按钮 ,CommView 即 可 根据 此 过 滤器 的 设置 捕获 网 
络 中 符合 条 件 的 数据 了 。 

(2) 简单 过 滤器 

简单 过 滤器 主要 是 指 软件 自 带 的 具有 某 些 单一 功能 的 过 滤器 ,通过 结合 使 用 多 种 过 滤 
器 ,达到 分 析 网 络 流量 的 目的 。 

@ Protocols & Direction。 在 左 侧 列表 中 .选择 Protocols & Direction 选项 ,如 图 7-38 
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所 示 。 在 右 侧 栏 中 ,选中 Enable ethernet protocol rules 复 选 框 ,启用 以 太 网 协议 规则 ,在 
Action 选项 区 域 中 选中 Capture 单 选 按钮 ,然后 在 Description 列表 框 中 选择 要 捕获 的 协 
议 。 选 中 Enable IP protocol rules 复 选 框 ,启用 IP 协议 规 则 。 其 中 , Capture inbound 
packets 复 选 框 表示 捕获 传人 的 数据 包 ,Capture outbound packets 复 选 框 表示 捕获 传 出 的 
数据 包 ,Capture pass-through packets 复 选 框 表示 捕获 传递 会 话 数据 包 。 
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图 7-38 Protocols &. Direction 


注意 : 在 每 种 规则 中 ,都 会 有 Capture 和 Ignore 单 选 按钮 ,选择 Capture 就 只 会 捕获 符 
合 当 前 规则 条 件 的 数据 ,而 选择 Ignore 单 选 按钮 则 对 符合 当前 条 件 的 数据 全 部 放行 。 

Q@ MAC Addresses。 在 左 侧 列表 中 选择 MAC Addresses 选项 ,如 图 7-39 所 示 。 在 右 
侧 栏 中 , 即 可 根据 MAC 地 址 来 设置 要 捕获 内 容 , 但 由 于 MAC 地 址 既 难 记 又 难 写 ,通常 不 
使 用 该 过 滤器 ,而 是 设置 要 捕获 的 IP 地 址 。 
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图 7-39 MAC Addresses 
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@ IP Addresses。 在 左 侧 列表 中 选择 IP Addresses 选项 ,如 图 7-40 所 示 , 在 右 侧 选中 
Enable IP address rules 复 选 框 ,启用 IP 地 址 规则 。 选 中 Action 选项 区 域 中 的 Capture 单 
选 按 钮 ,在 Add Record 选项 区 域 可 设置 IP 规则 ,To 表示 目的 地 址 ,From 表示 源 地 址 ,Both 
表示 两 者 都 有 ,例如 ,要 捕获 从 192. 168. 1. 100 的 计算 机 发 出 的 数据 包 , 可 选中 From 单 选 
按钮 ,在 该 文本 框 中 输入 192. 168. 1.100, 单 击 Add IP Address 按钮 即 可 添加 到 左 侧 的 列表 
框 中 ,CommView 则 只 捕获 从 192. 168. 1. 100 发 出 的 数据 包 , 而 不 捕获 其 他 数据 。 按 照 同 
样 步 又 ,可 以 设置 多 个 IP 地 址 。 
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图 7-40 设置 IP 地 址 规则 


@ Ports。 在 左 侧 列表 中 选择 Ports 选项 ,设置 要 捕获 的 端口 ,如 图 7-41 所 示 。 在 右 侧 
列表 中 ,选中 Enable port rules 复 选 框 , 启 用 端口 规则 ,选中 Action 选项 区 域 中 的 Capture 
单 选 按钮 ,在 Add Record 选项 区 域 中 即 可 添加 要 捕获 的 端口 ,例如 ,捕获 从 135、445 等 端口 
发 出 的 数据 包 ,可 先 选 中 From 单 选 按钮 ,在 文本 框 中 输入 端口 号 , 单 击 Add Port 按钮 添加 
到 列表 框 中 ,CommView 即 可 捕获 从 这 些 端口 传 出 的 数据 。 
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图 7-41 设置 端口 规则 
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@ Text。 在 左 侧 列表 中 选择 Text 选项 ,设置 捕获 具有 哪些 关键 字 的 数据 ,如 图 7-42 
所 示 。 在 右 侧 列表 中 ,选中 Enable text rules 复 选 框 启用 该 功能 ,选中 Action 选项 区 域 的 
Capture 单 选 按钮 ,在 Add Record 选项 区 域 中 , 即 可 选择 关键 字 格式 。 其 中 ,As String 单 选 
按钮 表示 使 用 文本 格式 ,As Hex 单 选 按钮 则 表示 使 用 Hex 格式 。 通 常情 况 下 ,使 用 文本 格 
式 更 容易 理解 ,例如 ,要 捕获 网 络 中 QQ 的 传输 数据 ,就 可 以 捕获 具有 shenzhen 字样 的 数据 。 
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图 7-42 ”Text 窗口 


@ TCP Flags。 选 择 左 侧 列表 中 的 TCP Flags 选项 ,设置 捕获 带 有 TCP 标记 的 数据 
包 , 如 图 7-43 所 示 。 在 右 侧 列表 中 ,选中 Enable TCP flags rules 复 选 框 ,启动 TCP 标记 规 
则 ,选中 Action 选项 区 域 中 的 Capture 单 选 按钮 ,然后 在 Add Record 选项 区 域 中 即 可 选择 
要 添加 的 标记 ,如 FIN、ACK 等 。 最 后 , 单 击 Add Flags 按钮 , 即 可 添加 到 Flags 列表 框 中 。 
此 时 ,CommView 在 捕获 数据 时 只 捕获 具有 此 标记 的 数据 。 
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图 7-43 设置 TCP 标 记 
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@ Process。 人 允许 用 户 基 于 处 理 名 称 捕获 数据 包 , 在 左 侧 列表 中 选择 Process 选项 ,如 
图 7-44 所 示 。 在 右 侧 栏 中 ,选中 Enable Process rules 复 选 框 ,启用 进程 名 称 捕获 数据 包 。 
选中 Capture 单 选 按钮 ,在 Add Record 文本 框 中 ,输入 进程 名 称 。 单 击 Add Process Name 
按钮 , 即 可 将 该 进程 过 滤器 添加 到 列表 中 。 
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图 7-44 Process 


注意 : 如 果 哪 些 规则 被 启用 , 则 在 左 侧 列表 框 中 ,相应 的 规则 名 称 会 以 黑体 宇 醒目 显示 。 

(3) 保存 过 滤器 

将 设置 的 过 滤器 进行 保存 ,可 以 方便 以 后 再 次 使 用 。 在 CommView 窗口 中 ,依次 选择 
Rules 一 Save Current Rules As 命令 ,根据 需要 保存 过 滤器 即 可 。 

需要 再 次 使 用 该 过 滤器 时 ,可 依次 选择 Rules 一 Load Rules From 命令 ,选择 已 保存 的 
规则 即 可 。 

5. 设置 警报 

CommView 还 可 以 设置 警报 ,可 以 将 特殊 数据 包 设 定 为 警报 信息 , 当 捕 获 到 警报 数据 
包 时 或 未 知 的 IP 地 址 时 ,就 会 向 网 络 管理 员 自 动 发 出 警报 。 

(1) 在 CommView 窗口 中 ,选择 Alarms 选项 卡 ,显示 图 7-45 所 示 的 窗口 ,首先 需要 选 
中 Enable alarms 复 选 框 ,启用 报警 功能 。 

(2) 单 击 Add 按钮 ,添加 一 个 警报 ,显示 图 7-46 所 示 的 Alarm Setup 对 话 框 。 在 
General 选项 区 域 的 Name 文本 框 中 为 该 警报 设置 一 个 名 称 。 在 Alarm type 选项 区 域 中 选 
择 警 报 类 型 , 若 选中 Packet occurrence(enter a formula) 单 选 按钮 ,并 在 该 框 中 设 定 数据 包 
公式 , 当 捕 获 到 该 类 数据 包 时 就 会 自动 报警 ,例如 ,要 将 从 4000 端口 传 出 的 数据 包 作 为 警 
报 , 可 输入 公式 dir 二 out and dport 二 4000。 对 于 Unknown MAC address 和 Unknown IP 
address 单 选 按钮 ,如 果 选 择 并 单 击 Configure 按钮 添加 允许 接收 的 MAC 或 IP 地 址 , 当 捕 
获 到 不 在 该 MAC 或 IP 地 址 列表 中 的 地 址 发 送 的 消息 时 就 会 发 出 警报 。 

在 Action 选项 区 域 中 ,可 设置 的 报警 方式 如 下 。 

@ Display message: 显示 消息 。 选 中 该 复 选 框 并 在 该 文本 框 中 输入 要 显示 的 消息 , 当 
报警 时 就 会 显示 这 些 字符 。 
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图 7-45 设置 警报 


@ Play sound: 声音 报警 。 选 中 该 复 选 框 并 输入 声音 文件 所 在 的 路 径 , 当 报警 时 计算 机 就 
会 自动 播放 该 声音 文件 来 提醒 管理 员 。 需 要 注意 的 是 ,只 能 使 用 . wav 格式 的 声音 文件 。 

@ Launch application: 运行 应 用 程序 。 选 中 该 复 选 框 并 在 该 框 中 输入 要 运行 的 应 用 
程序 路 径 , 当 报警 时 就 会 自动 运行 该 程序 ,例如 ,可 以 在 报警 时 运行 屏幕 保护 程序 或 某 个 声 
音 、 歌 曲 文件 来 提醒 管理 员 。 

@ Send e-mail to: 设置 邮件 报警 , 当 警 报 发 生 时 ,可 以 向 管理 员 发 送 一 封 邮件 。 选 中 
Send e-mail to 复 选 框 , 单 击 E-mail Setup 按钮 ,显示 图 7-47 所 示 的 对 话 框 ,在 Hostname 文 
本 框 中 输入 邮件 发 送 服务 器 地 址 ,如 smtp. 163. com; 在 Port 文本 框 中 ,使 用 默认 的 25 端 
口 即 可 。 选 中 Authentication 复 选 框 ,分 别 在 Username 和 Password 文本 框 中 ,输入 登录 
邮件 服务 器 的 用 户 名 和 密码 。 在 Your e-mail address(will be used in the"From”field) 文 本 
框 中 输入 显示 在 对 方 邮箱 中 的 邮件 地 址 ,设置 完成 后 单 击 OK 按钮 ,并 在 Send e-mail to 框 
中 输入 要 接收 邮件 的 电子 邮箱 地 址 。 单 击 Test 按钮 ,可 以 立即 发 送 一 封 邮件 ,测试 E-mail 
的 设置 是 否 正确 。 


日 Authentication 


emame password 


FE 
Eyents needed to bigger 1 司 Your e-mail address will be used in the "From field) 


rw em Emma 


图 7-46 ”Alarm Setup 对 话 框 图 7-47 设置 E-mail 
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@@ Enable capturing rules: 开启 捕获 规则 。 

@ Disable other alarms: 选中 该 复 选 框 则 会 关闭 其 他 警报 ,只 使 用 这 一 个 警报 。 

@ Start logging: 选中 该 复 选 框 ,可 将 报警 记录 到 日 志 中 。 

(3) 设置 完成 后 , 单 击 OK 按钮 即 可 。 该 警报 会 添加 到 CommView 窗口 中 的 Alarms 
选项 卡 的 列表 框 中 。 

重复 操作 可 设置 多 个 警报 ,如 果 某 个 警报 不 想 使 用 ,只 要 取消 相应 的 复 选 框 即 可 。 然 
后 ,在 CommView 窗口 中 运行 捕获 功能 , 当 捕 获 到 了 警报 中 设置 的 数据 时 , 即 可 自动 发 出 
警报 。 

6. 远程 监控 

CommView 还 具有 远程 监控 功能 ,无 论 被 监控 的 计算 机 处 于 何 处 ,只 要 连接 到 
Internet ,管理 员 就 可 以 使 用 CommView 远程 监控 计算 机 中 传输 的 数据 。 但 首先 必须 在 被 
监控 的 计算 机 上 安装 CommView Remote Agent 2. 1 插件 , 才 可 以 实现 远程 监控 ,该 插件 也 
可 从 其 官方 网 站 (http://www. tamos. com/) 上 下 载 。 

这 里 将 被 监控 的 计算 机 称 为 被 控 端 ,监控 被 控 端 的 计算 机 称 为 主 控 端 。 

(1) 在 被 控 端 计算 机 上 安装 CommView Remote Agent 2. 1 插件 ,安装 完成 后 并 运行 ， 
显示 图 7-48 所 示 的 Remote Agent Configuration and Installation 对 话 框 。 需 要 设置 一 个 端 
口 和 密码 , 供 主 控 端 监控 被 控 端 时 使 用 。 例 如 ,在 Port number 文本 框 中 设置 端口 号 ,默认 
端口 号 为 5050; 在 Password 文本 框 中 ,设置 一 个 远程 监控 密码 。 

(2) 单 击 Next 按钮 , CommView Remote Agent 开始 配置 并 运行 相应 的 服务 , 如 
图 7-49 所 示 。 
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图 7-48 设置 端口 和 密码 图 7-49 配置 并 运行 服务 


(3) 完成 配置 后 , 单 击 Finish 按钮 . 即 可 完成 被 控 端 的 设置 。 

(4) 在 主 控 端 计算 机 上 ,依次 选择 File->Remote Monitoring Mode( 远 程 监控 模式 ) 命 
今 ,显示 图 7-50 所 示 的 窗口 。 

(5) 单 击 New Remote Agent Connection 按钮 ,显示 图 7-51 所 示 的 Remote Agent 
Connection 窗口 。 在 Host or IP address 文本 框 中 ,输入 要 监控 的 计算 机 IP 地 址 ,如 
192. 168. 1. 190。 在 Password 文本 框 中 ,输入 在 远程 计算 机 上 安装 CommView Remote 
Agent 时 所 设置 的 密码 。 

(6) 单 击 窗口 上 方 的 Connect 按钮 ,开始 连接 远程 计算 机 ,连接 成 功 以 后 会 在 Adapter 
下 拉 列 表 框 中 显示 出 远程 计算 机 上 所 有 的 网 络 连接 ,在 该 下 拉 列 表 框 中 选择 一 个 合适 的 网 
络 适配器 ,如 图 7-52 所 示 。 

(7) 单 击 Start Capture 按钮 ,CommView Remote Agent 即 可 在 远程 计算 机 上 捕获 到 数 
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图 7-51 Remote Agent Connection 窗口 图 7-52 连接 远程 计算 机 


据 包 ,并 显示 在 CommView 窗口 中 ,网 络 管理 员 就 可 以 根据 所 监控 的 信息 ,远程 分 析 网 络 状 
况 了 ,如 图 7-53 所 示 。 
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图 7-53 捕获 远程 计算 机 数据 包 
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7. 保存 捕获 数据 

当 数 据 捕获 完成 以 后 ,为 便于 网 络 管理 员 以 后 再 进行 查看 分 析 , 可 以 将 这 些 数据 保存 起 
来 。CommView 捕获 的 数据 可 以 保存 成 . htm 格式 或 . csv 格式 。 

在 CommView 窗口 中 ,依次 选择 File->Save latest IP Connections As 命令 ,将 当前 数 
据 保 存 起 来 即 可 ,并 保存 成 网 页 表格 形式 。 如 果 日 后 想 查 看 相关 信息 ,直接 打开 保存 的 网 页 
即 可 ,如 图 7-54 所 示 。 


Latest jp Connections - Windows Internet Explo 
OO 本 | @ cvusersveapesdopyatest lp ComectonsHTM 四 晶 | 
窗 安 | 因 unesipconnecions 从 "日 -地 "小 Zn 号 IRov 
Latest mp Connections ] 
Gore on 2003/5 /22 at 1708:0 | 
tool [memotem | | pees 
El | I "| 
BY 0 Ht ee, 
W9292 3122165 1 2 Pr 0 2 p0725 
el a, eit ts 
Dorper pr 
N890 B268477 3 5 Ok 0 mcmho ie a 
ai at 0 5 ok 0 mw a 06% 
NBL T400252 0 7 Ps 0 oS, eon nepem me mon 
Na 9 3 pe 0 ore po 
0 TEI 0 6 Ok 0 em oom 0 
Do 2300 1 1 ok 0 mn Ce 3 70833 
N98L7 22LI951G 5 6 Ps 0 Sah se NON 
Wal a0 0 6 ok 9 ww boom 。 。 Dos 和 
计 丙 9 | 攻关 村 式 ; 甘 且 各 100% ~ 


图 7-54 查看 保存 的 数据 


7.3.2 网 络 流量 实时 监控 一 一 MRTG 


MRTG 是 一 款 非常 有 名 的 网 络 流量 监视 及 统计 软件 ,MRTG 可 以 以 网 页 及 图 形 的 方 
式 来 呈现 出 目前 网 络 流量 的 状况 。 网 络 中 安装 了 MRTG 后 ,管理 员 可 以 及 时 了 解 服务 器 
和 交换 机 的 流量 ,防止 因 流 量 过 大 而 导致 服务 器 瘫痪 或 网 络 拥塞 。 

1. MRTG 简介 

MRTG(Moulti Router Traffic Grapher, MRTG) 是 一 款 监控 网 络 链 路 流量 负载 的 工具 
软件 ,通过 SNMP 协议 从 设备 得 到 设备 的 流量 信息 ,并 将 流量 负载 以 包含 png 格式 图 形 的 
HTML 文档 方式 显示 给 用 户 , 以 非常 直观 的 形式 显示 流量 负载 。 

作为 目前 最 为 通用 的 网 络 流量 监控 软件 ,MRTG 具有 以 下 特点 。 

(1) 可 移植 性 : 可 以 运行 在 大 多 数 Linux/UNIX 系统 和 Windows 2000/XP/2003 系统 。 

(2) 源码 开放 : MRTG 是 用 Perl 编写 的 , 源 代码 完全 开放 。 

(3) 高 可 移植 性 的 SNMP 支持 : MRTG 采用 了 Simon Leinen 编写 的 具有 高 可 移植 性 
的 SNMP 实现 模块 ,从 而 不 依赖 于 操作 系统 的 SNMP 模块 支持 。 

(4) 支持 SNMPv2c: MRTG 可 以 读 取 SNMPv2c 的 64 位 的 计数 器 ,从 而 大 大 减少 了 
计数 器 回转 次 数 。 

(5) 可 靠 的 接口 标识 : 被 监控 设备 的 接口 可 以 以 IP 地 址 .设备 描述 .SNMP 对 接口 的 
编号 及 MAC 地 址 来 标识 。 

(6) 常量 大 小 的 日 志文 件 : MRTG 的 日 志 不 会 变 大 ,因为 这 里 使 用 了 独特 的 数据 合并 
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算法 。 

(7) 自动 配置 功能 : MRTG 自身 有 配置 工具 套件 ,使 得 配置 过 程 非常 简单 。 

(8) 性 能 : 时 间 敏 感 的 部 分 使 用 C 代码 编写 ,因此 具有 很 好 的 性 能 。 

(9) png 格式 图 形 : 图 形 采 用 GD 库 直 接 产生 png 格式 。 

(10) 可 定制 性 : MRTG 产生 的 Web 页 面 是 完全 可 以 定制 的 。 

2. 网 络 设备 和 服务 器 的 准备 

这 里 服务 器 使 用 的 操作 系统 为 Windows Server 2003, 以 管理 网 络 中 的 Cisco 交换 机 为 
例 进行 介绍 。 

(1) 安装 Web 服务 

在 监控 计算 机 上 安装 并 启用 Web 服务 ,具体 安装 步骤 可 参见 相关 内 容 , 这 里 就 不 再 
著述 。 

(2) 安装 ActivePerl 

在 监控 计算 机 上 下 载 并 安装 Windows 版 本 的 Perl 编译 程序 。 由 于 MRTG 是 使 用 
Perl 语言 编写 的 ,所 以 ,在 Windows 环境 中 需要 先 来 配置 Perl 环境 。Perl 可 以 从 其 官方 网 
站 (http://www. activestate. com/) 免 费 下 载 。ActivePerl 安装 过 程 非常 简单 ,建议 采用 系 
统 安装 默认 值 ,一 般 安装 在 C:\Perl 目录 下 ,并 在 系统 环境 变量 PATH 中 加 入 C:\Perl\ 
bin 。 

小 知识 : ActivePerl 是 Windows 系统 环境 下 的 Perl 语言 解释 器 的 源 代 码 , 支 持 
Microsoft IIS ,包括 有 Perl for Win32、Perl for ISAPI,PerlScript、PerlPackageManager 共 4 
套 程 序 。 

(3) 启用 服务 器 上 的 SNMP 服务 

若 欲 借助 网 络 管理 软件 实现 对 网 络 设 备 和 服务 器 的 远程 管理 与 监视 ,必须 在 网 络 设备 
和 服务 器 上 启用 SNMP 服务 。 具 体操 作 内 容 可 参见 相关 内 容 , 这 里 就 不 再 著述 。 

(4) 配置 网 络 设备 的 SNMP 服务 

下 面 以 Cisco 为 例 , 介 绍 一 下 如 何 启用 网 络 设备 的 SNMP 服务 。 

Oa 为 网 络 设备 配置 管理 IP 地 址 。 


Switch 二 enable 

Password : 

Switch# 

Switch # configure terminal 

Enter configuration commands, one per line. End 
with CNTL/Z. 

Switch(config)# interface vlan 1 

Switch(config-if) # ip address 管理 IP 地 址 子 网 掩 码 
Switch(config-if) # no shuwdown 

SwitchCconfig-if) # end 


Switch# write memory 
@@ 启用 SNMP 服务 。 


Switch>enable 
Password: 


Switch# 
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Switch# configure terminal 

Enter configuration commands, one per line. End 

with CNTL/Z. 

Switch(config)# 

Switch(config) # snmp-server community public RO /只 读 字 符 串 为 public 

Switch(config) # snmp-server community private RW / 读 写 字符 串 为 private 

Switch(config) # snmp-server enable traps 

Switch(config)# snmp-server host ip_address SNMP_hostname /安装 MRTG 的 计算 机 的 IP 地 址 
Switch(config) # exit 

Switch# write memory 


(5) 监控 服务 器 设置 

如 果 想 要 监控 网 络 中 的 服务 器 , 则 需要 在 目标 服务 器 安装 简单 网 络 管理 协议 。 具 体 安 
装 并 启用 SNMP 的 操作 ,参见 本 书 的 相关 内 容 , 这 里 就 不 再 闭 述 。 

3. 监控 计算 机 上 的 MRTG 配置 

对 服务 器 和 交换 机 的 监控 的 配置 基本 相同 。 这 里 以 对 服务 器 的 监控 为 例 。 欲 监测 的 设 
备 是 Web 服务 器 ,其 SNMP 监控 的 IP 地 址 是 192. 168. 1. 10,SNMP 查询 字符 串 为 public。 

(1) 下 载 Windows 版 本 的 MRTG 并 安装 。 

(2) 配置 Web 服务 器 ,并 配置 MRTG 生成 结果 页 面 的 文件 夹 。 

@ 将 D:\web\MRTG 作为 存放 被 采集 设备 配置 文件 的 文件 夹 。 

@ 将 D:\web\MRTG\Web 作为 存放 被 采集 信息 文件 (HTML 与 图 片 ) 的 文件 夹 。 

@ 配置 Web 服务 器 ,建立 一 个 虚拟 目录 http://localhost/MRTG/ 作 为 查看 MRTG 
结果 的 路 径 , 并 指向 到 D:\web\MRTG。 

(3) 生成 Web 服务 器 的 MRTG 采集 配置 文件 。 

在 MS-DOS 窗口 C:\MRTG\bin\ 提 示 符 下 运行 以 下 命令 。 

Perl cfgmaker --global "WorkDir: d:\web\MRTG\ Web" --output "d:\web\ MRTG\Web. cfg" pub@ 

192.168.1.10 

如 果 运 行 正常 将 会 在 D:\web\MRTG\ 目 录 生 成 cisco4006. cfg 文件 ,这 个 就 是 针对 
Web 的 MRTG 配置 文件 。 

(4) 修改 Web 服务 器 的 MRTG 采集 配置 文件 。 

使 用 文本 编辑 器 打开 D:\web\MRTG\web. cfg 文件 进行 编辑 ,在 其 中 加 入 如 下 语句 。 


RunAsDaemon: yes 

表示 人 允许 程序 及 配置 文件 后 台 运 行 。 

Options[_] : growright, bits 

表示 采集 的 流量 信息 使 用 bits 进行 表示 ,也 可 以 使 用 bytes 进行 表示 。 
Languagd: GB2312 

表示 使 用 中 文生 成 MRTG 结果 信息 文件 。 


(5) 运行 MRTG 流量 采集 程序 。 
在 MS-DOS 窗口 运行 以 下 命令 。 


® 
. 
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ce:\MRTG\ bin\ > start /D c:\ MRTG\bin wPerl MRTG - -logging = eventlog d: \web\ MRTG\ 
Wave 
如 果 运 行 正常 将 会 在 D:\web\MRTG 目录 生成 web. cfg_1 文 件 ,并 在 D:\web\MRTG\ 
web 目录 生成 MRTG 第 一 次 采集 生成 的 大 量 结果 文件 ,可 以 通过 Web 浏览 器 进行 查看 ,地 
址 为 : http://localhostVMRTGVWeb/。 
同时 可 以 观察 到 系统 将 会 每 5 分 钟 自动 运行 一 次 MRTG ,采集 流量 信息 并 生成 文件 。 
(6) 生成 Web 索引 页 面 。 
在 MS-DOS 窗口 运行 以 下 命令 。 
c: \ MRTG\ bin\ Perl indexmaker - -output 一 "d:\ web\ MRTG\ web \index. html" title = 
windowMRTG d:\web\ MRTG\web. cfg 
如 果 运 行 正常 将 会 在 d:\web\MRTG\web 目录 生成 index. html 页 面 , 通 过 Web 浏览 
器 查看 ,地 址 为 :“http://localhost/ MRTG/web/index. html”。 图 7-55 所 示 为 服务 器 性 能 


信息 与 流量 信息 索引 图 。 


图 7-55 服务 器 性 能 信息 与 流量 信息 索引 图 


当 欲 监视 的 设备 为 交换 机 时 ,可 以 通过 修改 . cfg 中 每 个 端口 的 Title、PageTop 信息 来 指定 
每 个 端口 流量 信息 页 面 的 标题 ,也 可 以 修改 . cfg 中 其 他 的 一 些 信息 ,或 者 修改 index. html 文 
件 来 改变 页 面 的 显示 。 图 7-56 所 示 为 网 络 设备 流量 监控 图 。 


出 口 流量 


图 7-56 网 络 设备 流量 
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7.4 ”网 络 吞吐 量 分 析 


网 络 性 能 是 衡量 网 络 布线 系统 和 网 络 设备 系统 的 基本 因素 , 换 句 话说 ,所 有 的 网 络 在 规 
划 、 施 工 以 及 日 常 维护 都 是 为 了 保证 网 络 性 能 而 展开 的 。 因 此 ,测试 网 络 性 能 是 网 络 的 重要 
工作 之 一 。 不 仅 在 网 络 建设 完成 后 需要 测试 网 络 性 能 ,在 日 常 管理 中 ,也 应 时 常 进行 网 络 性 
能 的 测试 ,这 样 可 以 排除 某 些 网 络 故障 。 


7.4.1 香 吐 率 测 试 Qcheck 


Qcheck 是 NetIQ 公司 开发 的 一 款 免费 网 络 测试 软件 ,被 NetIQ 称 为 "Ping 命令 的 扩展 
版 本 ”, 主 要 用 来 测试 网 络 的 响应 时 间 和 数据 传输 速率 。Qcheck 可 以 运行 于 所 有 Windows 
9x 以 后 的 操作 系统 上 。 

1.Qcheck 的 运行 

Qcheck 的 运行 需要 两 台 计算 机 ,并 分 别 安装 Qcheck。 当 进行 测试 时 ,只 需要 从 一 台 客 
户 端 计算 机 向 另 一 端 计算 机 发 送 文件 或 测试 命令 即 可 ,例如 TCP/UDP 传输 速率 测试 。 测 
试 结 果 越 高 越 好 ,100Mbps 端口 的 理论 值 最 高 为 94Mbps( 传 输 速率 )。 

(1) 在 要 测试 的 网 络 两 端 分 别 运 行 Qcheck 程序 ,显示 
图 7-57 所 示 的 Qcheck 主 界面 。 

(2) 在 Qcheck 主 界面 上 方 的 From Endpoint 1 下 拉 列 表 
框 中 输入 要 发 送 数 据 的 端点 ; 在 To Endpoint 2 下 拉 列 表 框 
中 输入 要 将 数据 发 送 到 的 端点 。 下 面 有 几 个 圆 按 钮 , 左 侧 的 
Protocol 选项 区 域内 的 按钮 表示 可 以 使 用 的 协议 类 型 ,包括 
TCP、UDP、SPX 和 IPX。 右 侧 的 Options 选项 区 域内 的 按钮 
表示 可 以 测试 的 项 目 。 根 据 所 选择 项 目的 不 同 ,所 适用 的 协 
议 也 有 所 不 同 。 

Q@ Response Time( 响 应 时 间 ): 测试 响应 的 最 短 .平均 与 
最 长 时 间 。 适 用 于 所 有 的 协议 。 

@ Throughput( 知 吐 量 ): 测试 在 每 秒 送 出 的 数据 量 , 以 
测试 网 络 带宽 。 适 用 于 所 有 的 协议 。 

@ Streaming: 测试 串 流传 输 速率 ,如 多 媒体 流 的 带宽 。 ”图 757 Qeheck 主 界面 
只 适用 于 UDP 和 IPX 协议 。 

@ Traceroute:Traceroute 与 Windows 中 的 Tracert 命令 作用 相同 ,测试 一 台 计 算 机 到 
另 一 台 计算 机 所 经 过 的 路 由 。 只 适用 于 TCP 和 UDP 协议 。 

(3) 单 击 Run 按钮 即 可 开始 测试 ,测试 完成 以 后 会 在 下 面 的 黑色 框 中 显示 出 测试 结果 ， 
也 可 以 单 击 Details 按钮 查看 详细 信息 。 

2. 测试 TCP 响应 时 间 

TCP 响应 时 间 (TCP Response Time) 测 试 可 以 测试 出 完成 TCP 通信 的 最 短 ,平均 与 最 
长 时 间 等 信息 。 

(1) 运行 Qcheck, 在 From Endpoint 1 下拉 列表 框 中 选择 localhost 选项 , 即 从 本 地 计 
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算 机 发 送 测试 命令 ,在 To Endpoint 2 文本 框 中 ,输入 目标 计算 机 IP 地 址 。 在 Protocol 选 
项 区 域 中 单 击 选中 TCP 按钮 ,在 Options 选项 区 域 中 单 击 选中 Response Time 按钮 。 在 
Iterations 文本 框 中 输入 重复 测试 的 次 数 , 默 认为 3 次 。 在 Date Size 文本 框 中 输入 要 发 送 
的 数据 包 的 大 小 ,默认 为 100bytes。 

(2) 设置 完成 后 , 单 击 Run 按钮 , 即 可 开始 测试 , 测试 完成 后 ,在 Response Time 
Results 文本 框 中 显示 出 测试 结果 ,如 Minimum( 最 短 )、Average( 平 均 ) 与 Maximum( 最 长 ) 
时 间 , 如 图 7-58 所 示 。 

如 果 想 查看 更 详细 的 信息 ,可 单 击 Details 按钮 ,打开 图 7-59 所 示 的 Qcheck Results 窗 
口 。 在 该 窗口 中 显示 了 设置 信息 ,测试 结果 ,甚至 显示 了 本 地 计算 机 与 目标 计算 机 的 系统 信 
息 以 及 Qcheck 的 版 本 信息 等 。 在 Response Time Results 选项 区 域 中 显示 了 响应 的 最 小 、 
最 大 和 平均 时 间 。 


3 
Data Slze 100 bytes 
Response Time Results 


Mi ms 
Average ms 


IP Address 


Endpoint Version J 
Operating System )0 5.2 Buld 3790 Sevce Pack1 
Memory 
习 
CE TT FE 
图 7-58 测试 TCP 响应 时 间 图 7-59 Qeheck Results 


3. 测试 网 络 带宽 

Qcheck 是 一 款 集 网 络 性 能 测试 和 网 络 带宽 测试 于 一 身 的 软件 ,不 但 可 以 用 来 测试 网 络 
性 能 ,还 可 以 用 来 测试 网 络 带宽 。 

(1) 运行 Qcheck, 在 From Endpoint 1 文本 框 中 选择 localhost; 在 To Endpoint 2 文本 
框 中 输入 目标 计算 机 IP 地 址 ; 在 Protocol 选项 区 域 中 单 击 选择 TCP 按钮 ,在 Options 选项 
区 域 中 单 击 选择 Throughput 按钮 ; Date Size 文本 框 中 输入 要 发 送 的 数据 包 的 大 小 ,默认 
为 100KB。 

(2) 设置 完成 后 单 击 Run 按钮 , 即 可 开始 测试 ,测试 完成 后 即 在 Throughput Results 
文本 框 中 显示 测试 结果 ,如 图 7-60 所 示 。 

小 技巧 : 在 测试 网 络 带 宽 时 ,往往 会 因为 设备 性 能 、 线 路 质量 等 各 种 因素 的 影响 ,使 得 
测试 值 比 实际 值 要 小 。 为 了 求 得 准备 的 结果 ,建议 使 用 多 台 计 算 机 进行 测试 ,一 般 最 大 值 才 
是 网 络 带 宽 的 真实 值 。 
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4. 串 流 测试 

使 用 Qcheck 的 UDP 串 流传 输 速率 (UDP Streaming Throughput) 测 试 ,可 以 测试 多 媒 
体 流通 需要 多 少 的 频 宽 ,以 方便 网 络 硬件 速度 和 网 络 所 能 达到 真正 数据 传输 速率 间 的 比较 。 

(1) 运行 Qcheck, 在 From Endpoint 1 下拉 列表 框 中 选择 localhost 选项 ; 在 To 
Endpoint 2 下 拉 列 表 框 中 输入 目标 计算 机 IP 地 址 ; 在 Protocol 选项 区 域 中 单 击 选 中 UDP 
按钮 ,在 Options 选项 区 域 中 选中 Streaming 按钮 ; 在 Data Rate 设置 数据 传输 速率 ,默认 
为 50kbps, 最 大 不 能 超过 1Mbps; 在 Duration 框 中 设置 持续 时 间 ,默认 为 10 秒 。 

(2) 设置 完成 后 单 击 Run 按钮 , 即 可 开始 测试 ,测试 完成 以 后 在 Streaming Results 文 
本 框 中 显示 出 测试 结果 ,如 图 7-61 所 示 。 这 里 测试 出 的 传输 速率 为 49. 940kbps 。 


图 7-60 测试 网 络 带 宽 图 7-61 串 流 测试 


7.4.2 SolarWinds 


SolarWinds Engineer'”s Toolset 是 一 款 完 善 的 网 络 带 宽 、 性 能 和 故障 管理 软件 。 可 以 
通过 浏览 器 即时 监控 网 络 状态 和 统计 资料 。 程 序 将 监视 和 搜集 来 自 路 由 器 ,节点 .服务 器 和 
所 有 开启 SNMP 服务 的 设备 的 信息 ; 同时 也 将 监控 本 机 的 CPU 占用 率 、 内 存 使 用 情况 以 
及 可 用 磁盘 空间 。 

1. SolarWinds Engineer”s Toolset 简介 

SolarWinds Engineer”s Toolset 网 络 性 能 监视 器 提供 了 一 个 全 面 的 容错 和 人 性 能 管理 的 
平台 ,可 以 从 Web 浏览 器 收集 并 查看 可 用 性 和 实时 的 历史 统计 信息 。 监 视 , 收 集 和 成 功 地 
分 析 数 据 从 路 由 器 .交换 机 、 防 火 墙 , 服 务 器 和 任何 其 他 启用 SNMP 的 设备 上 传输 的 相关 信 
息 ,Orion NPM 提供 易于 使 用 、 可 缩放 的 网 络 ,为 IT 专业 人 员 处 理 任 何 大 小 网 络 的 监视 
问题 。 

SolarWinds Engineer”s Toolset 提供 以 下 详细 监视 功能 。 

(1) 网 络 的 可 用 性 。 

(2) 带宽 容量 使 用 率 。 

(3) 缓冲 区 使 用 情况 和 错误 。 
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(4) CPU 和 内 存 利用 率 。 

(5) 接口 错误 和 丢弃 。 

(6) 网 络 延 迟 。 

(7) 节点 、 接 口 和 卷 状态 。 

(8) 卷 使 用 情况 。 

这 些 监视 功能 ,以 及 使 用 完全 自 定义 基于 Web 的 界面 ,警报 、 报 告 引擎 和 灵活 的 扩展 能 
力 帮 助 SolarWinds Engineer”’s Toolset 做 出 需要 进行 涉及 网 络 需要 最 简单 的 选择 。 

它 的 安装 需求 如 下 。 

(1) 使 用 32 位 或 64 位 Windows 2003 Server 操作 系统 。 

(2) CPU 频率 大 于 500MHz。 

(3) 128MB 以 上 内 存 。 

(4) 安装 .NET Framework 2.0 以 上 版 本 。 

(5) 安装 IE6.0 以 上 版 本 浏览 器 。 

2. 安装 与 运行 SolarWinds 

SolarWinds Engineer”s Toolset 软件 可 以 从 其 官方 网 站 进行 下 载 ,其 下 载 地 址 为 
http://www. solarwinds. com。 下 载 完成 后 ,可 按 如 下 步骤 安装 。 

(1) 双击 安装 程序 ,运行 SolarWinds Engineer7s Toolset 安装 向 导 。 单 击 Next 按钮 ， 
显示 图 7-62 所 示 的 License Agreement 对 话 框 。 选 中 I accept the terms of the license 
agreement 单 选 按钮 ,接受 该 许可 协议 。 

(2) 单 击 Next 按钮 ,显示 图 7-63 所 示 的 Customer Information 对 话 框 。 在 User 
Name 和 Company Name 文本 框 中 ,分 别 输入 用 户 名 称 和 公司 名 称 。 如 果 选 中 Anyone who 
uses this computer(all users) 单 选 按 钮 ,可 以 使 该 计算 机 上 的 所 有 用 户 均 可 使 用 该 软件 ,如 
果 选 中 Only for my(czc) 单 选 按 钮 , 则 仅 该 用 户 可 以 使 用 该 软件 。 
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图 7-62 License Agreement 对 话 框 图 7-63 Customer Information 对 话 框 


(3) 单 击 Next 按钮 ,显示 图 7-64 所 示 的 Choose Destination Location 对 话 框 。 在 该 对 
话 框 中 ,可 以 根据 需要 设置 软件 的 安装 目录 , 单 击 Browse 按钮 进行 设置 即 可 。 

(4) 单 击 Next 按钮 ,显示 图 7-65 所 示 的 Ready to Install the Program 对 话 框 。 

(5) 单 击 Install 按钮 , 即 可 开始 安装 软件 ,安装 完成 后 ,显示 图 7-66 所 示 的 SolarWinds 
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图 7-64 Choose Destination Location 对 话 框 图 7-65 Ready to Install the Program 对 话 框 
Network Management Tools 对 话 框 。 根 据 用 户 所 获得 的 许可 信息 ,输入 相应 的 文本 框 中 ， 
单 击 Continue 按钮 即 可 。 如 果 没 有 获得 许可 信息 ,可 单 击 Skip This and Enter Software 
License Key Now 按钮 , 跳 过 该 操作 并 输入 许可 信息 。 

(6) 这 里 单 击 Skip This and Enter Software License Key Now 按钮 , 跳 过 该 操作 ,显示 


图 7-67 所 示 的 Install Software License Key 对 话 框 。 在 Enter Software License Key 文本 
框 中 ,输入 所 获得 的 许可 信息 。 
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图 7-66 SolarWinds Network Management 


图 7-67 Install Software License Key 
Tools 对 话 框 


对 话 框 


(7) 单 击 Continue 按钮 .显示 图 7-68 所 示 的 成 功 安装 许可 证 对 话 框 。 

(8) 单 击 Continue 按钮 ,显示 图 7-69 所 示 的 InstallShield Wizard Complete 对 话 框 。 
提示 需要 重新 启动 计算 机 , 才 可 以 使 软件 生效 。 

(9) 单 击 Finish 按钮 ,完成 安装 并 重新 启动 计算 机 。 重 新 启动 计算 机 后 ,软件 会 自动 运 
行 ,显示 图 7-70 所 示 的 软件 主 窗口 。 如 果 软 件 没 有 自动 运行 ,可 以 依次 选择 “开始 ”>“ 所 有 程 
序 ” 一 SolarWinds Engineer's Toolset 一 SolarWinds Toolset Launchpad 命令 ,运行 该 软件 。 

3. 发 现 网 络 

IP Network Browser 是 一 个 互动 的 网 络 发 现 工 具 , 提 供 能 够 扫描 IP 地 址 范围 或 子 网 
和 显示 发 现 设备 包括 系统 MIB、ARP 表 ,接口 IOS、 驱 动 器 、Flash 内 存 等 的 详细 信息 。 


(1) 在 软件 主 窗口 左 侧 栏 中 ,选择 Network Discovery 选项 ,显示 图 7-71 所 示 的 
Network Discovery 窗口 。 
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图 7-68 成 功 安装 许可 证 
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图 7-69 JInstallShield Wizard Complete 对 话 框 
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图 7-70 软件 主 窗口 


(2) 在 右 侧 栏 中 ,双击 IP Network Browser 图 标 , 显示 图 7-72 所 示 的 IP Network 


图 7-71 Network Discovery 窗口 


Browser 窗口 。 在 该 窗口 中 ,提供 以 下 3 种 扫描 方式 。 


@ Scan a Single Device: 该 方式 只 扫描 用 户 指定 的 单个 网 络 设备 。 
@ Scan a Subnet: 使 用 该 方式 ,可 以 扫描 一 个 网 络 段 内 的 所 有 设备 。 


be Kr lp 

OSSnmales* 加 SY 了 
IP Network Browser 

Scan o Single Device 

Hamem 

Re 


Scan a Subnet 
Subnet Mers 


Subnet Mask 


[0 


Scan on IP Address Range 
eammaipAdaenr [ 


Eming IP Adiress | 


SolarWinds Engineer's Toolsat v9 


图 7-72 


IP Network Browser 窗口 
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@ Scan an IP Address Range: 使 用 该 方式 ,可 以 扫描 一 个 地 址 段 内 的 所 有 设备 。 

这 里 使 用 Scan an IP Address Range 方式 ,扫描 一 个 地 址 段 的 设备 。 在 Beginning IP 
Address 和 Ending IP Address 文本 框 中 ,分 别 输入 所 要 扫描 的 起 始 地 址 和 结束 地 址 。 

(3) 单 击 Scan Address Range 按钮 , 即 可 开始 扫描 ,扫描 完成 后 ,显示 图 7-73 所 示 的 对 
话 框 。 


图 7-73 扫描 结果 


另外 ,还 可 以 根据 需要 打印 或 导出 扫描 结果 ,在 IP Network Browser 窗口 中 , 单 击 
print 按钮 ,直接 打印 扫描 结果 。 也 可 以 按 如 下 步骤 导出 扫描 结果 : 

(1) 在 IP Network Browser 窗口 中 , 单 击 Export 按钮 ,显示 图 7-74 所 示 的 Export 
Wizard 对 话 框 。 根 据 需 要 在 Which nodes would you like to include 列表 中 选中 想 要 导出 
的 设备 信息 。 

(2) 单 击 Next 按钮 ,显示 图 7-75 所 示 的 导出 内 容 对 话 框 。 在 Which discovery groups 
would you like to include 列表 中 ,选中 想 要 导出 的 信息 , 单 击 Select All 按钮 ,可 以 选中 所 
有 信息 。 

(3) 单 击 Next 按钮 ,显示 图 7-76 所 示 的 对 话 框 ,提示 是 否 导出 SNMP 字符 串 。 用 户 可 
根据 需要 进行 选择 ,这 里 选中 Yes 单 选 按钮 , 即 导出 SNMP 字符 串 。 


图 7-74 ”Export Wizard 对 话 框 图 7-75 导出 内 容 图 7-76 提示 是 否 导 出 
SNMP 字符 串 
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(4) 单 击 Export 按钮 ,打开 Export to 对 话 框 ,根据 需要 选择 所 要 保存 的 目录 即 可 。 

(5) 单 击 Save 按钮 ,完成 导出 操作 。 

4. 查询 CPU 负载 

Advanced CPU Load 可 以 监视 路 由 器 、 交 换 机 和 服务 器 的 CPU 使 用 率 , 并 可 查看 实时 
和 历史 使 用 率 。 

(1) 在 软件 主 窗口 左 侧 栏 中 ,选择 NetworkMonitoring 选项 ,显示 图 7-77 所 示 的 
NetworkMonitoring 窗口 。 

(2) 在 右 侧 栏 中 ,双击 Advanced CPU Load 图 标 , 打 开 Advanced CPU Load 窗口 。 依 
次 选择 File->New Advanced CPU Load Database, 显示 图 7-78 所 示 的 New Advanced CPU 
Load Database 对 话 框 。 根 据 需 要 设置 新 建 的 数据 库 的 保存 位 置 ,并 在 “文件 名 "文本 框 中 ， 
输入 和 欲 保 存 的 名 称 。 
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图 7-77 NetworkMonitoring 窗口 图 7-78 New Advanced CPU Load Database 对 话 框 


(3) 单 击 “ 保 存 ” 按 钮 ,返回 Advanced CPU Load 窗口 ,如 图 7-79 所 示 。 
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7-79 新 建 的 查询 


(4) 单 击 Add 按钮 ,显示 图 7-80 所 示 的 Add Network Device 对 话 框 。 分 别 在 IP 
Address or Hostname 和 SNMP Community String 文本 框 中 ,输入 和 欲 添 加 设备 的 IP 地 址 和 
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SNMP 字符 串 。 
(5) 单 击 OK 按钮 ,添加 设备 成 功 ,该 设备 即 可 显示 在 Advanced CPU Load 窗口 中 ,如 
图 7-81 所 示 。 重 复 操作 ,可 添加 多 台 设 备 。 
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图 7-80 Add Network Device 对 话 框 图 7-81 成 功 添加 设备 


(6) 右 击 想 要 查看 详细 信息 的 设备 ,在 快捷 菜单 中 选择 Edit Device Details 命令 ,显示 
图 7-82 所 示 的 C4006-ZX-HJ details 窗口 。 在 该 窗口 中 ,可 以 查看 描述 信息 、 设 备 类 型 、 响 
应 延 时 、 当 前 CPU 负载 情况 .处 理 器 数量 .最 后 启动 时 间 、 最 后 发 生 错 误 的 时 间 、 下 一 次 测 
试 时 间 和 OID 信息 。 另 外 ,还 可 以 对 设备 进行 简单 配置 ,例如 系统 名 称 、IP 地 址 SNMP 字 
符 串 等 。 

(7) 如 果 修 改 了 设备 的 配置 ,需要 单 击 Apply Changes 按钮 ,保存 修改 。 

(8) 右 击 想 要 查看 的 详细 信息 的 设备 ,在 快捷 菜单 中 选择 Historical Graph 命令 。 显 示 
图 7-83 所 示 的 CPU Load on C4006-ZX-HJ 对 话 框 。 在 该 对 话 框 中 ,可 以 查看 设备 当前 的 
CPU 使 用 率 , 以 及 最 近 一 个 月 的 CPU 使 用 情况 。 
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图 7-82 C4006-ZX-HJ details 窗口 图 7-83 查看 CPU 历史 负载 情况 
5. 带宽 测试 


Bandwidth Gauges 提供 实时 监控 任何 端口 的 传输 和 接收 ,以 及 接口 或 设备 通信 。 

(1) 在 NetworkMonitoring 窗口 中 ,在 右 侧 栏 中 双击 Bandwidth Gauges 图 标 , 显示 
图 7-84 所 示 的 Bandwidth Gauges 对 话 框 。 

(2) 依次 选择 Gauges->New Gauges 命令 ,显示 图 7-85 所 示 的 Device and Credentials 
对 话 框 。 在 Device or IP address 和 Community string 下 拉 列 表 框 中 ,分 别 输入 和 欲 监控 的 设 
备 的 卫 地 址 和 SNMP 字符 串 。 
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Ce Ce 


图 7-84 Bandwidth Gauges 对 话 框 图 7-85 Device and Credentials 对 话 框 
(3) 单 击 Test 按钮 ,测试 是 否 可 以 监控 目标 设备 ,测试 完成 后 ,显示 图 7-86 所 示 的 
Credentials Test 对 话 框 。 从 图 中 可 知 ,目标 设备 已 经 通过 测试 。 


(4) 单 击 OK 按钮 返回 ,再 单 击 Next 按钮 ,显示 图 7-87 所 示 的 Interface/Port 对 话 框 。 
在 Interface/Port 列表 中 ,选择 欲 监控 的 端口 。 
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图 7-86 通过 测试 图 7-87 ”Interface/Port 对 话 框 


(5) 单 击 Finish 按钮 , 即 可 开始 监控 目标 端口 的 带宽 ,如 图 7-88 所 示 。 其 中 ,Receive 
表示 接收 速率 ,Transmit 表示 传输 速率 。 


6. CPU Gauge 的 使 用 


CPU Gauge 提供 实时 Cisco 设备 的 CPU 负载 情况 ,并 以 图 形 形 式 进行 显示 。 


(1) 在 NetworkMonitoring 窗口 中 ,双击 CPU Gauge 图 标 , 显 示 CPU Gauge 窗口 。 单 
击 窗口 右上 角 的 考 按 钮 .如 图 7-89 所 示 。 


图 7-88 端口 带宽 测试 7-89 CPU Gauge 功能 菜单 
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(2) 在 快捷 菜单 中 ,选择 Setup Gauge 命令 ,显示 图 7-90 所 示 的 Setup CPU Gauge 对 
话 框 。 在 IP Address or Hostname 和 SNMP Community String 文本 框 中 ,分 别 输入 所 要 查 
看 设备 的 IP 地 址 和 SNMP 字符 串 。 

(3) 单 击 OK 按钮 , 即 可 显示 图 7-91 所 示 的 设备 的 CPU 的 使 用 情况 。 在 对 话 框 的 上 
方 ,显示 该 设备 的 名 称 , 这 里 设置 设备 名 称 为 C4506-ZX-HX1。 

单 击 寺 按钮 ,并 选择 Save Gauge 命令 ,可 以 将 当前 设备 CPU Gauge 进行 保存 ,如 图 7-92 
所 示 。 


图 7-90 ”Setup CPU Gauge 对 话 框 
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图 7-91 目标 设备 的 CPU 使 用 情况 图 7-92 保存 CPU Gauge 


7. 网 络 性 能 监视 器 

Network Performance Monitor 提供 实时 网 络 监控 .跟踪 网 络 延 迟 数据 包 丢 失 .Traffic、 
带宽 使 用 等 网 络 统计 信息 。 

(1) 在 NetworkMonitoring 窗口 中 ,双击 Network Performance Monitor 图 标 , 显示 
图 7-93 所 示 的 Network Performance Monitor 窗口 。 


7-93 Network Performance Monitor 窗口 


(2) 单 击 New 按钮 .显示 图 7-94 所 示 的 Device 对 话 框 。 在 Device or IP address 下 拉 
列表 框 中 ,输入 需要 进行 性 能 监视 的 主机 、 服 务 器 .路 由 器 等 网 络 设备 地 址 。 


(3) 单 击 Next 按钮 ,显示 图 7-95 所 示 的 Credentials 对 话 框 。 在 Credentials 选项 区 域 
中 ,选择 所 使 用 SNMP 的 版 本 号 ,这 里 选中 Community string 单 选 按钮 ,并 在 下 拉 列 表 框 中 
输入 其 SNMP 字符 串 。 需 要 注意 的 是 ,如 果 选 中 Device does not support SNMP 单 选 按 
钮 , 则 可 以 监视 不 支持 SNMP 协议 的 设备 ,但 只 能 监视 其 响应 时 间 和 丢 包 率 。 
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图 7-94 ”Device 对 话 框 图 7-95 ”Credentials 对 话 框 


(4) 单 击 Finish 按钮 ,显示 图 7-96 所 示 的 Resources on C4506-ZX-HX1 窗口 。 根 据 需 
要 选择 所 要 监视 的 端口 ,如 果 单 击 Select All 按钮 , 则 可 以 监视 全 部 端口 ,如 果 单 击 Select 
All Active Interfaces 按钮 , 则 可 以 监视 当前 处 于 活动 状态 的 端口 。 

(5) 单 击 OK 按钮 ,返回 Network Performance Monitor 窗口 ,在 左 侧 栏 中 展开 新 添加 
的 设备 , 即 可 查看 监视 该 设备 的 各 个 端口 及 VLAN 信息 ,如 图 7-97 所 示 。 其 中 ,在 左 侧 栏 
中 ,各 选项 的 含义 如 表 7-1 所 示 。 
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图 7-96 Resources on C4506- 图 7-97 监视 端口 
ZX-HX1 窗口 


(6) 右 击 某 接口 ,在 快捷 菜单 中 选择 Interface Details 命令 ,可 以 显示 接口 详细 信息 ,如 
图 7-98 所 示 。 包 括 MIB-2 中 Interface 对 象 组 中 所 有 对 象 、 数 据 传输 速率 ,接口 利用 率 , 丢 
包 率 ,错误 率 等 详细 的 信息 。 如 果 单 击 Administratively Shutdown Interface 按钮 ,可 以 关 
闭 该 接口 。 


@e。 
292 ”网络 管理 与 工具 软件 应 用 


表 7-1 网 络 性 能 监视 器 各 选项 含义 


表 项 名 称 


含 义 


Min/Max/ Average bps In/Out 


最 小 /最 大 /平均 数据 传输 速率 ,接收 与 传输 使 用 不 同 颜 色 分 
别 列 出 。 每 5 分 钟 取 一 次 值 ,( 可 以 通过 设置 修改 取 值 间隔 ) 
色 柱 上 下 两 端 分 别 表示 最 大 值 与 最 小 值 ,不 同 颜色 线 表 示 平 
均值 的 连 线 (同样 是 5 分 钟 取 一 次 值 ) 


Min/ Max/ Average Percent Utilization 


最 小 /最 大 /平均 利用 率 , 图 表 显 示 与 第 一 项 类 似 


Min/Max/ Average bps Received 


接收 的 最 小 /最 大 /平均 数据 传输 速率 ,为 第 一 项 的 表 的 接收 
部 分 


Min/Max/Average bps Transmitted 


传输 的 最 小 /最 大 /平均 数据 传输 速率 


Average bps - Line Chart 


用 线形 图 分 别 表 示 接 收 和 传输 速率 


Average bps - Step Chart 


用 柱 形 图 分 别 表 示 接 收 和 传输 速率 


Min/ Max/ Average packets In/Out 


最 小 /最 大 /平均 数据 包 传输 速率 


Average packets Per Second 


以 线形 图 方式 显示 ,为 Min/Max/Average packets In/Out 的 
一 部 分 


Multicast Traffic 


分 别 显 示 接 收 \ 传 输 广播 数据 传输 速率 


Total Bytes Transferred 


用 柱 形 图 分 别 表示 当天 接收 与 传输 的 总 字 节 数 


Total Packets Transmitted/Received 


用 柱 形 图 分 别 表示 当天 接收 与 传输 的 总 数据 包 数 


鸭 wouowews 
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图 7-98 端口 详细 信息 


(7) 单 击 工具 栏 中 的 View 按钮 ,可 以 分 组 显示 性 能 参数 ,如 图 7-99 所 示 。 其 中 ,部 分 


选项 的 含义 如 表 7-2 所 示 。 


表 7-2 分 组 显示 部 分 内 容 含义 


分 组 类 型 说 有明 
Nodes View 显示 所 监视 的 所 有 节点 信息 
Response Time 显示 所 有 节点 的 响应 时 间 
Last Time each Node Rebooted 各 节点 最 后 一 次 重新 启动 时 间 
Jnterface Status 各 节点 的 各 接口 状态 
Interface 显示 各 节点 所 被 监视 的 接口 名 称 等 
Last Time Each Interface Changed 各 节点 接口 状态 最 后 一 次 改变 的 时 间 
Current Traffic 当前 各 接口 接收 和 传输 速率 .利用 率 
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续 表 
分 组 类 型 说 明 
TInterface Bandwidth Settings 各 接口 带宽 显示 
Maximum Traffic Load Today 当天 各 接口 的 最 大 负载 
Current Packs per Second 当前 各 接口 的 数据 包 接收 传输 速率 
Current Packs Size 当前 接收 传输 数据 包 大 小 
Errors and Discards - This Hours 当前 一 小 时 错误 和 丢 包 数 
Errors and Discards - Today 当天 错误 和 丢 包 数 
Node Polling Intervals 节点 轮 询 时 间 间 隔 
Jnterface Polling Intervals 各 节点 轮 询 时 间 间 隔 
Percent Utilization 当前 各 接口 接收 传输 利用 率 
IOS Image Version Cisco 设备 系统 镜像 文件 版 本 信息 


因 Mwave bor Te 


国 和 resp tps Ue De 
国 row opr -Sep Om 
国 Pre Uowen Sm Ow 


图 7-99 分 组 显示 性 能 参数 
习题 


1. 简 述 MRTG 的 特点 。 
2. SolarWinds Engineer's Toolset 提供 哪些 监视 信息 ? 


实验 : SolarWinds 分 析 网 络 香 吐 量 


实验 目的 : 

掌握 SolarWinds 的 使 用 方法 。 
实验 内 容 : 

使 用 SolarWinds 监视 网 络 设备 。 
实验 步骤 : 

(1) 安装 SolarWinds。 

(2) 发 现 网 络 。 

(3) 查询 网 络 设备 CPU 负载 。 
(4) 测试 网 络 带宽 。 

(5) 使 用 网 络 性 能 监视 器 。 


网 络 链 路 管理 


网 络 链 路 的 正常 连接 ,是 计算 机 正常 接 入 网 络 的 基础 ,例如 ,交换 机 、 路 由 器 等 网 络 设备 
的 连接 与 配置 不 正确 ,网 卡 和 网 络 协议 配置 错误 ,计算 机 的 IP 地 址 信息 设置 不 正确 等 都 会 
造成 IP 链 路 的 连接 问题 。 只 有 IP 链 路 畅通 ,计算 机 设备 才能 够 正常 接 入 网 络 。 因 此 ,需要 
使 用 一 些 测试 软件 来 判断 网 络 逻 辑 链 路 是 否 畅 通 。 


8.1 网 络 链 路 管理 规划 


网 络 链 路 是 网 络 的 基础 部 分 ,对 于 有 线 网 络 只 有 使 用 双 绞 线 或 光纤 正常 连接 才能 保证 
网 络 的 畅通 ,因此 网 络 链 路 的 管理 也 是 管理 员 日 常 工作 的 重点 。 


8.1.1 项 目 背 景 


在 当前 网 络 中 , 除 客户 端 计算 机 连接 交换 机 使 用 100Mbps 双 绞 线 外 ,其 他 连接 均 采 用 
1000Mbps 连接 。 其 中 ,服务 器 与 其 连接 的 交换 机 所 使 用 的 是 1000Mbps 双 绞 线 , 其 他 
1000Mbps 连接 均 采用 光纤 连接 。 


8.1.2 项 目 需求 


虽然 网 络 链 路 发 生 故 障 的 可 能 性 比较 低 , 但 并 不 是 完全 不 会 发 生 故 障 。 在 网 络 链 路 发 
生 故 障 时 ,需要 及 时 使 用 相关 工具 进行 故障 排查 。 通 常情 况 下 ,网 络 链 路 故障 分 为 网 络 物理 
链 路 故障 和 逮 辑 链 路 故障 。 

8.1.3 解决 方案 


对 于 网 络 链 路 故障 通常 可 以 通过 如 下 3 种 方法 解决 。 

(1) 对 于 双 绞 线 链 路 测试 .管理 员 可 以 使 用 Fluke MircoScanner? 来 进行 测试 ,而 在 各 
科室 中 可 以 配备 价格 比较 便宜 的 双 绞 线 测 线 仪 ,在 该 项 目 中 配备 能手 ” 测 线 仪 。 

(2) 对 于 光纤 链 路 除 可 通过 网 络 设备 上 的 指示 灯 查 看 外 ,还 可 通过 Fluke DTX 系列 电 
缆 认 证 分 析 仪 进行 测试 。 

(3) 对 于 人 逻辑 链 路 连接 问题 ,可 以 通过 Windows 自 带 的 测试 工具 进行 连通 性 连接 , 例 
如 IP 网 络 连通 性 测试 工具 (Ping)、 路 径 信 息 提示 工具 (Pathping) 和 测试 网 络 路 由 路 径 


(Tracert) 。 


ee 图 
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8.2 网 络 物理 链 路 测试 


物理 链 路 是 计算 机 连接 网 络 的 基础 ,连通 性 故障 在 网 络 初创 阶段 、 网 络 拓扑 调整 之 后 ， 
以 及 网 络 运 行 3 一 5 年 后 可 能 会 大 量 发 生 。 通 常情 况 下 ,对 于 网 络 连接 故障 往往 只 需 简 单 地 
做 一 下 网 络 布线 的 连通 性 测试 , 即 可 定位 故障 原因 、 找 到 故障 点 ,从 而 迅速 隔离 和 排除 故障 。 
8.2.1 Fluke MircoScanner’ 


1. 简介 
Fluke MicroScanner2 电缆 检测 仪 是 一 款 手持 式 测试 仪器 ,如 图 8-1 所 示 , 用 于 检验 和 
诊断 双 绞 线 和 同 轴 电缆 的 接线 ,以 及 检测 网 络 服务 。 它 可 执行 下 列 工作 。 
(1) 最 长 可 测量 1500ftC457m) 的 电缆 ,并 检测 双 绞 线 和 同 
~ 轴 电 缆 布 线 中 的 开路 和 短路 问题 。 
(2) 检测 双 绞 线 布线 中 的 线 对 串 绕 问题 。 
(3) 在 一 个 屏幕 上 显示 线 序 .电缆 长 度 与 开路 位 置 的 比例 
距离 ,以 及 远程 ID 号 。 
(4) 检测 双 绞 线 布线 中 的 以 太 网 端口 并 报告 端口 速度 。 
图 8-1 Fluke MicroScanner’ (5) 检测 双 绞 线 布线 中 的 PoE( 以 太 网 供电 模块 ) 和 电话 电压 。 
(6) IntelliTone 功能 配合 Fluke Networks 的 IntelliTone 
探头 使 用 ,可 帮助 查找 和 定位 在 墙壁 中 、 接 插 板 处 或 线束 中 的 电缆 。 模 拟 音 频 发 生 器 可 与 标 
准 模拟 探头 配套 使 用 ,并 包含 能 够 可 靠 地 识别 线束 中 的 电缆 的 SmartTone 功能 。 
MicroScanner: 的 组 成 及 各 种 按钮 如 图 8-2 所 示 。 
(1) ON/OFF: 开 / 关 键 。 
(2) 人 /VV: 导 览 屏幕 和 更 改 设置 。 在 音频 发 生 
器 模式 下 ,用 于 在 IntelliTone 和 模拟 音频 发 生 器 的 音 
调 之 间 循 环 变换 。 
(3) PORT: 选择 RJ-45 或 同 轴 电 缆 连接 器 作为 当 
前 使 用 的 端口 。 
(4) MODE: 在 电缆 测试 .音频 发 生 器 和 PoE 检 
测 模式 之 间 循 环 切换 。 
要 进入 其 他 模式 ,在 启动 测试 仪 的 同时 按 住 如 下 
Q@ PORT 十 入: 可 用 于 校准 长 度 测量 值 和 选择 米 ee 
或 英尺 作为 长 度 单位 。 
Q@ MODE 十 V: 激活 演示 模式 ,在 该 模式 下 测试 仪 显 示 测 试 结果 屏幕 的 示例 。 
加 A 十 V: 显示 版 本 和 序列 号 屏幕 。 
(5) 带 背 部 照明 的 LCD 显示 屏 。 
(6) 用 于 连接 到 75Q 同 轴 电缆 的 F- 接 头 。 
(7) 用 于 连接 电话 和 双 绞 线 网 络 电缆 的 模块 式 插 孔 。 插 孔 可 接 插 8- 针 模块 式 (RJ-45) 
和 6- 针 模块 式 (RJ-11) 接 头 。 
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(8) 带 F- 接 头 和 8- 针 模块 式 插 孔 的 线 序 适 配器 。 
(9) 可 选 的 带 F- 接 头 和 8- 针 模块 式 插 孔 的 远程 ID 定位 器 。 
Fluke MicroScanner 的 显示 屏 组 成 信息 如 图 8-3 所 示 。 


(1) 测试 仪 图 标 。 @ ®@ 0@ 
(2) 细节 屏幕 指示 符 。 ofo IntelliTone\ oc» / [DO 
(3) 指示 哪个 端口 为 现 用 端口 ,RJ-45 端口 还 @| 9 证 
是 同 轴 电 缆 端 口 。 “| 间 日 /7 
(4) 音频 模式 指示 符 。 PoE -一 一 Ga 
(5) 以 太 网 供电 模块 指示 符 (PoE) 。 sun / 8888B 
(6) 带 英尺 / 米 指示 符 的 数字 显示 。 /| 上 1 
(7) 测试 活动 指示 符 ,在 测试 正在 进行 时 会 以 
ee 人 
(8) 当 音 频 发 生 器 处 于 IntelliTone 模式 时 ,会 do 十 slip3649538 


显示 IntelliTone。 
《9) 表示 电缆 上 存在 短路 。 图 8-3 Fluke MicroScanner 显示 屏 信息 
(10) 电话 电压 指示 符 。 ee 
(11) 表示 线 序 适 配器 连接 到 电缆 的 远 端 。 
(12) 电池 电量 不 足 指 示 符 。 
(13) 表示 ID 定位 器 连接 到 电缆 的 远 端 并 显示 定位 器 的 编号 。 
(14) 以 太 网 端口 指示 符 。 
(15) 线 序 示意 图 。 对 于 开路 , 线 对 点 亮 段 的 数量 表示 与 故障 位 置 的 大 致 距离 。 最 右 侧 


的 段 表示 屏蔽 。 
(16)“1” 图 标 表示 电缆 存在 故障 或 带 有 高 压 。 当 出 现 线 对 串 绕 问题 时 ,显示 SPLIT( 串 
绕 ) 图 标 。 


2， 跳 线 连通 性 测试 

将 需 测 试 双 绞 线 的 一 端 插入 MicroScanner 上 的 RJ-11/45 端口 , 另 一 端 插 入 线 序 适 配 
器 (如 图 8-4 所 示 ) 端 口 。 按 ON/OFF 按钮 ,打开 电源 开关 。 按 动 MODE 按钮 ,直至 在 液晶 
显示 屏 上 显示 测试 活动 指示 符 。 此 时 ,将 显示 测试 结果 。 测 试 结果 均 以 数字 表示 ,上 面 一 行 
数字 显示 的 是 线 序 适 配器 一 端 插头 处 检测 到 的 线路 ,下 面 一 行 显 示 的 则 是 主机 一 端的 实际 
接线 情况 。 

(1) 链 路 连接 正确 

图 8-5 所 示 为 连接 正常 完全 没有 故障 的 实例 ,并 显示 链 路 长 度 为 55. 5m。 


图 8-4 网线 测试 设备 的 连接 
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(2) 链 路 存在 开路 

图 8-6 所 示 为 第 4 根 线 上 存在 开路 。 电 缆 长 度 为 75. 4m。 开 路 中 3 个 表示 线 对 长 度 的 
线段 表示 开路 大 致 位 于 线 序 适 配器 端 距离 的 3/4 处 。 若 欲 查看 至 开路 处 的 距离 ,可 以 使 用 
人 A/V 查 看 线 对 的 单独 结果 。 

注意 : 如 果 线 对 中 只 有 一 根 线 开路 并 且 未 连接 线 序 适配器 或 远程 ID 定位 器 , 线 对 中 的 
两 根 线 均 显 示 为 开路 。 如 果 线 对 中 的 两 根 线 均 开路 ,警告 图 标 不 显示 ,因为 线 对 开路 对 某 些 
布线 应 用 属于 正常 现象 。 

(3) 链 路 存在 短路 

图 8-7 所 示 为 第 5 根 和 第 6 根 线 之 间 存 在 短路 ,短路 的 接线 会 闪烁 来 表示 故障 。 电 缆 
长 度 为 75. 4m。 

注意 : 当 存 在 短路 时 , 远 端 适配器 和 未 短路 接线 的 线 序 不 显示 。 

(4) 线路 跨 接 

图 8-8 所 示 为 第 3 根 和 第 4 根 线 跨 接 , 线 位 号 会 闪烁 来 表示 故障 。 电 费 长 度 为 53. 9m。 
电缆 为 屏蔽 双 绞 线 。 


图 8-6 链 路 存在 开路 图 8-7 链 路 存在 短路 图 8-8 线路 跨 接 


(5) 线 对 跨 接 

图 8-9 所 示 为 线 对 1.2 和 3、6 路 接 , 线 位 号 会 闪烁 来 表示 故障 。 这 可 能 是 由 于 接 错 
568A 和 568B 电缆 引起 。 当 然 , 也 可 能 是 专门 制作 的 用 于 交换 机 之 间 连 接 的 交叉 线 。 电 缆 
长 度 为 32. 0m。 

(6) 串 绕 

图 8-10 所 示 为 线 对 3.6 和 4、5 存在 串 绕 , 串 绕 的 线 对 会 闪烁 来 表示 故障 。 电 费 长 度 为 
75.4m。 在 串 绕 的 线 对 中 , 端 到 端的 连通 性 正确 ,但 是 ,所 连接 的 线 来 自 不同 线 对 ,如 图 8-11 所 
示 。 线 对 串 绕 会 导致 串扰 过 大 ,因而 干扰 网 络 运行 。 


3 3 
6 6 
4 4 
5 5 


图 8-11 错误 线 对 
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小 知识 : 如 电话 线 之 类 的 非 双 绞 线 电 绕 ,由 于 串扰 过 大 ,通常 会 显示 为 囊 绕 。 

3. 水 平 布线 测试 

测试 水 平 布 线 一 配 线 架 至 信息 插座 的 连通 性 时 ,必须 借助 于 线 序 适配器 才能 完成 链 路 
测试 。 

在 这 里 需要 使 用 两 根 直通 跳 线 ,并 确认 
该 跳 线 的 连通 性 完好 。 使 用 一 根 跳 线 连接 
配 线 架 欲 测试 端口 和 线 序 适配器 ; 使 用 另 一 
根 跳 线 连接 信息 插座 (与 该 配 线 架 端口 相对 
应 的 端口 ) 与 MicroScanne: 的 RJ-11/45 端 
口 , 如 图 8-12 所 示 。 

以 下 测试 过 程 与 上 述 跳 线 连通 性 测试 
相同 , 故 不 再 歼 述 。 

小 技巧 : 两 个 人 使 用 无 线 对 讲 机 在 水 平 
布线 的 两 端 协同 工作 ,可 以 大 大 提高 布线 测 
试 工作 效率 。 图 8-12 水 平 布线 测试 连接 方式 

4. 整体 链 路 测试 

与 测试 跳 线 不 同 , 由 于 整体 链 路 两 端 相 距 较 远 ,不 可 能 同时 插入 MicroScanner 的 两 个 
端口 测试 ,所 以 必须 借助 于 适配器 才能 完成 测试 。 

将 连接 计算 机 和 信息 插座 的 跳 线 从 网 卡 上 拔 出 ,插入 MicroScanner 的 RJ-11/45 端口 。 
然后 再 将 连接 配 线 架 和 集 线 设 备 的 跳 线 从 交换 机 中 拔 出 ,插入 MicroScanner 的 线 序 适配器 。 

以 下 测试 过 程 与 上 述 跳 线 连通 性 测试 相同 , 故 不 再 闭 述 。 当 发 现 连 通 性 故障 时 ,再 逐一 
测试 两 端 跳 线 和 水 平 布 线 。 

5. 测试 以 太 网 端口 

测试 仪 能 检测 现 用 以 太 网 端口 (如 图 8-13 所 示 ) 和 非 现 用 以 太 网 端口 (如 图 8-14 所 示 )。 


过 配 线 架 


水 平 布 线 


图 8-13 现 用 以 太 网 端口 图 8-14 非 现 用 以 太 网 端口 


(1) 以 太 网 端口 图 标 。 

(2) 现 用 1000Mbps 端口 的 速率 。 速 率 为 1 0Mbps、100Mbps 或 1000Mbps。 示 例 显 示 
速率 为 1000Mbps。 如 果 端 口 支持 多 个 速率 ,数字 会 在 各 个 速率 之 间 循 环 变 换 。 

(3) 电缆 长 度 。 如 果 测 试 仪 无 法 测量 长 度 . 则 显示 短 划 号 。 在 端口 不 能 产生 反射 时 会 
出 现 这 种 情况 。 如 果 端 口 的 阻抗 发 生 波动 或 者 不 同 于 电缆 的 阻抗 ,长 度 可 能 会 发 生 不 断 变 
化 或 者 明显 过 高 。 若 有 疑问 ,可 将 电缆 从 端口 断 开 .以 进行 准确 的 长 度 测量 。 
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6. 查看 单独 结果 

要 查看 每 个 线 对 的 单独 结果 ,可 用 八 键 或 V 键 在 屏幕 之 间 移 动 。 在 此 模式 下 ,测试 仪 仅 
连续 测试 用 户 正 在 查看 的 线 对 。 

图 8-15 所 示 为 线 对 1.2 在 29.8 m 处 存在 短路 。 图 8-16 所 示 为 线 对 3.6 长 度 为 67. 7m， 
并 与 线 序 适配器 端 连 接 。 


小 知识 : 在 单独 结果 屏幕 上 ,只 显示 菜 个 线 对 中 接线 之 间 的 短路 。 当 存在 短路 时 , 远 端 
适配器 和 未 短路 接线 的 线 序 不 显示 。 
图 8-17 所 示 为 线 对 4、5 在 48. 1m 处 存在 开路 。 开 路 可 能 是 一 根 或 两 根 接线 。 


图 8-15 线 对 1、2 短路 图 8-16 线 对 3.6 长度 图 8-17 线 对 4.5 开路 


7. 使 用 多 个 远程 ID 定位 器 
使 用 多 个 远程 ID 定位 器 可 帮助 识别 接 插 板 处 的 多 个 网 络 连接 ,如 图 8-18 所 示 。 面 面 
显示 测试 仪 连接 到 编号 为 3 的 远程 ID 定位 器 端的 电缆 。 


远程 ID 定位 
器 连接 到 信 
息 插座 


图 8-18 线路 定位 器 


8. 双 绞 线 长 度 测量 

(1) 校准 长 度 测量 

测试 仪 使 用 一 个 NVP 值 ( 名 义 传播 速率 ) 和 通过 电缆 的 信号 延 时 来 计算 长 度 。 测 试 仪 
的 默认 NVP 值 的 准确 度 通常 足以 验证 长 度 ,但 是 ,可 通过 将 NVP 值 调 整 到 指定 或 实际 值 
来 提高 长 度 测量 的 准确 度 。 默 认 NVP 值 对 双 绞 线 电 缆 为 70% 。 

注意 : 电缆 类 型 、 批 次 和 制造 商 不 同 ,NVP 值 也 不 同 。 在 多 数 情况 下 ,这 些 差别 较 小 ， 
可 以 忽略 不 计 。 
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(2) 将 NVP 设 为 指定 值 

输入 由 制造 商 指 定 的 NVP 值 的 步骤 如 下 。 

g@ 在 启动 测试 仪 时 , 按 下 PORT 键 和 人 键 。 

@ 用 八 键 和 VY 键 来 设置 NVP 值 。 

@ 保存 设置 值 并 退出 NVP 模式 ,将 测试 仪 关闭 , 然 后 重新 启动 。 

(3) 测定 电缆 的 实际 NVP 值 

可 以 通过 将 测 得 的 长 度 调整 到 电缆 的 已 知 长 度 来 测定 电缆 的 实际 NVP 值 。 

测定 电缆 的 NVP 的 步骤 如 下 。 

@ 在 启动 测试 仪 时 , 按 下 PORT 键 和 八 键 。 

@ 将 已 知 长 度 的 待 测 电缆 连接 到 测试 仪 的 双 绞 线 或 同 轴 电 费 连 接 器 上 。 

注意 : 电缆 长 度 必 须 不 小 于 15m(49ft) 。 如 果 电 缆 过 短 , 则 会 出 现 “---” 来 表示 长 度 。 
为 了 获得 最 高 的 准确 度 , 使 用 的 电缆 长 度 应 在 15m(49ft) 和 30m(98ft) 之 间 。 电 缆 不 可 连接 
任何 东西 。 

@ 在 m 和 ft 之 间 切 换 , 按 PORT 键 。 

@ 使 用 人 键 和 VvV 键 更 改 NVP 值 ,直到 测 得 的 长 度 与 电缆 的 实际 长 度 相同 。 

@ 保存 设置 值 并 退出 NVP 模式 ,将 测试 仪 关闭 ,然后 重新 启动 。 


8.2.2 简易 网 线 测 试 仪 


除 在 网 络 管理 中 心 购买 Fluke MircoScanner 外 ,在 各 部 门 间 有 时 也 需要 测试 网 络 链 路 ,如 
果 也 购买 Fluke MircoScanner ,对 于 网 络 预 算 而 言 显然 是 不 可 接受 的 ,此 时 , 则 可 以 购买 廉价 
的 网 线 测试 仪 。 这 里 以 上 海 三 北 的 “能 手 ” 计 算 机 网 络 电 缆 测试 仪 为 例 ,如 图 8-19 所 示 , 虽 
然 功能 差 一 些 , 但 价格 非常 便宜 ,只 要 几 十 元 人 民 币 , 且 用 于 网 线 的 连通 性 测试 绰绰有余 。 

将 网 线 两 端的 水 晶 头 分 别 插入 主 测试 仪 和 远程 测试 端的 RJ-45 端口 ,将 开关 开 至 ON 
(S 为 慢 速 挡 ) ,主机 指示 灯 从 1 一 8 逐个 顺序 闪 亮 ,如 图 8-20 所 示 。 

若 连接 不 正常 , 按 下 述 情况 显示 。 

(1) 当 有 一 根 导线 断路 , 则 主 测试 仪 和 远程 测试 端 对 应 线 号 的 灯 都 不 亮 。 

(2) 当 有 几 条 导线 断路 , 则 相对 应 的 几 条 线 的 显示 灯 都 不 亮 , 当 导线 少 于 两 根 线 连 通 
时 , 灯 都 不 亮 。 

(3) 当 两 头 网 线 乱 序 , 则 与 主 测试 仪 端 连 通 的 远程 测试 端的 线 号 对 应 的 显示 灯亮 ,如 
图 8-21 所 示 。 


于 昌 


图 8-19 “能 手 ” 计 算 机 网 络 电费 测试 仪 图 8-20 开始 测试 图 8-21 乱 序 


(4) 当 导 线 有 两 根 短路 时 . 则 主 测试 器 显示 不 变 , 而 远程 测试 端 显 示 短 路 的 两 根 线 灯 都 
亮 。 若 有 3 根 以 上 ( 含 3 根 ) 短 路 时 , 则 所 有 短路 的 几 条 线 号 的 灯 都 不 亮 。 
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8.2.3 光纤 链 路 测试 


Fluke DTX 系列 电缆 认证 分 析 仪 (如 图 8-22 所 示 ) 是 一 款 既 可 满足 当前 要 求 又 面向 未 
来 技术 发 展 的 高 技术 测试 平台 ,被 广泛 应 用 于 网 络 布线 系统 测试 。 另 外 ,Fluke DTX 系列 
电缆 认证 分 析 仪 还 可 以 测试 双 绞 线 的 布线 系统 性 能 。 

1. 测试 连接 

开始 双 绞 线 或 光纤 性 能 测试 前 ,应 当 将 Fluke DTX 测试 仪 连接 至 欲 测试 的 网 络 链 路 
中 。 图 8-23 所 示 为 光纤 链 路 测试 模块 ,图 8-24 所 示 为 双 绞 线 链 路 测试 模块 。 


人 人 -2 
图 8-22 Fluke DTX 系列 电缆 。 图 8-23 ”光纤 链 路 测试 模块 。 图 8-24 双 绞 线 链 路 测试 模块 
认证 分 析 仪 
注意 : 测试 不 同类 型 的 链 路 应 当 使 用 不 同 的 模块 。 
(1) 光纤 链 路 连接 
测试 光纤 链 路 时 ,Fluke DTX 测试 仪 的 连接 如 图 8-25 所 示 。 
适配器 水 平 布线 信息 插座 


光纤 配 线 架 


图 8-25 光纤 链 路 测试 连接 


(2) 双 绞 线 链 路 连接 i 
测试 双 绞 线 水 平 布线 链 路 时 , Fluke DTX 
测试 仪 的 连接 如 图 8-26 所 示 。 线条 
测试 双 绞 线 整个 通道 链 路 时 (包括 跳 线 )， 候 信息 插座 一 和 
Fluke DTX 测试 仪 的 连接 如 图 8-27 所 示 。 内 
2. 设备 设置 [| 测试 仪 连 接 永久 智能 远 端 连接 :| 
DTX 为 专 为 快速 测试 和 诊断 而 设置 的 通 泽 链 路 适配器 永久 链 路 适配器 | | 
俗 易 懂 的 用 户 界面 ,使 测试 前 的 设备 设置 工作 
更 加 简单 ,即使 是 没有 经 过 任何 相关 培训 的 普 图 8-26” 双 绞 线 链 路 测试 连接 
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水 平 布线 


集 线 设备 
es 
上 i 半 可 选 转 接点 
集 线 设备 跳 线 工作 区 域 


本 


六 
| 测试 仪 连接 永 智能 远 端 连 接 永久 
Fa 本 入 链 路 适配器 链 路 适配器 


图 8-27 双 绞 线 通道 测试 连接 


通 管理 员 也 可 简单 上 手 。 通 常情 况 下 应 用 于 不 同 的 测试 环境 时 需要 随时 设 定 不 同 的 参数 ， 
但 是 用 户 也 可 以 使 用 附带 的 管理 软件 LinkWare 预先 设置 好 ,从 而 可 以 留 出 更 多 时 间 用 于 
测试 工作 。 

首先 将 旋转 开关 调节 至 Setup( 设 置 ) 位 置 ,并 使 用 测试 仪 控 制 面板 上 的 方向 选择 按钮 
选择 仪器 设置 值 ? 选 项 ,此 时 屏幕 上 会 显示 图 8-28 所 示 的 界面 。 

按 ENTER 键 即 可 进入 设置 页 面 ,共有 4 个 选项 供用 户 自 定 义 , 即 是 否 保存 测试 结果 、 
Fluke Networks 语言 .长 度 单 位 和 是 否 播放 声音 。 通 过 定位 键 中 的 左右 方向 调节 按钮 即 可 
相互 切换 ,在 某 项 功能 设置 页 面 中 可 以 使 用 上 下 方向 调节 按钮 选择 设置 结果 。 图 8-29 所 示 
的 是 默认 显示 的 是 否 保存 测试 结果 的 界面 。 

确认 选择 的 设置 之 后 , 按 ENTER 键 即 可 保存 设置 结果 。 

3. 双 绞 线 测 试 

1) 双 绞 线 设置 

首先 将 旋转 开关 调节 至 Setup 位 置 .并 在 显示 界面 中 选择 “ 双 绞 线 ? 选 项 , 按 ENTER 
键 , 进 入 图 8-30 所 示 的 双 绞 线 设置 界面 。 


双 绞 线 
光纤 


线 费 类 型 
Cat6 UTP 


TIA Cat 6 Perm. Link 
NVP 
69.0 


是 
结果 存放 位 置 插座 配置 
568A 


% 突出 显示 项 目 ， 
技 ENTER 键 


令 突出 显示 项 目 ， 
技 ENTER_ 键 


” 技 ENTER 链 


图 8-28 进入 仪器 设置 界面 图 8-29 设置 过 程 图 8-30 双 绞 线 设置 
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从 图 中 可 以 看 出 ,还 需要 对 被 测试 网 络 中 “ 线 线 类 型 "“ 测 试 极限 值 ”、NVP 和 “插座 配 
置 " 等 选项 进行 相应 的 设置 ,其 中 最 重要 的 是 前 两 项 的 设置 。 

(1) 线 缆 类 型 。DTX CableAnalyzer 可 以 广泛 支持 目前 局 域 网 布线 中 使 用 的 各 种 屏蔽 
双 绞 线 和 非 屏 蔽 双 绞 线 (STP、.FTP、SSTP 和 UTP) ,选择 * 线 缆 类 型 选项 后 ,进入 图 8-31 
所 示 的 " 线 缆 类 型 界面 ,用 户 可 以 根据 被 测试 的 网 络 线 缆 类 型 选择 UTP、FTP 和 SSTP 等 。 
另外 ,用 户 还 可 以 根据 所 采用 线 缆 的 制造 商 进 行 选 择 。 

(2) 测试 极限 值 。 为 测试 任务 选择 适当 的 测试 极限 值 ,以 便 得 到 更 精确 的 测试 结果 。 在 
双 绞 线 设 置 界面 中 调节 选择 键 ,使 “测试 极限 值 ”高 亮度 显示 ,然后 按 ENTER 键 进入 图 8-32 
所 示 的 "测试 极限 值 ?设置 界面 。DTX 包含 了 许多 由 标准 团体 制定 的 测试 极限 值 ,如 TIA、 
ISO、EN、AuS/NZ 和 许多 应 用 领域 的 专用 测试 极限 值 。 

另外 ,DTX 还 会 自动 保存 最 近 测 试 过 程 中 设置 的 测试 极限 值 , 如 果 需 要 对 当前 网 络 进 
行 反复 测试 , 则 可 以 选择 该 选项 ,省 去 重复 设置 的 麻烦 。 选 择 * 上 次 使 用 ”选项 , 并 按 
ENTER 键 之 后 进入 图 8-33 所 示 的 界面 。DTX 最 多 可 以 保存 9 项 最 近 应 用 的 测试 极限 值 ， 
分 别 按照 使 用 的 先后 顺序 进行 排列 ,最 近 使 用 的 选项 显示 在 第 一 行 。 通 过 上 下 调节 键 可 以 
选择 本 次 想 要 应 用 的 测试 极限 值 , 然 后 按 ENTER 键 即 可 确认 选用 。 


10G Base-T PL Proposal 
TIA 


ET TIA Cat 6 Channel 


SSTP ISO ISOo11801 PL max ClassF 
i EN 
Aus/NZ 1S011801 Channel Class F 
应 用 IlSo11801 Channel ClassF 


IlSo11801 Channel ClassF 
1S011801 Channel ClassF 
1S011801 Channel Class F 


图 8-31 选择 线 费 类 型 图 8-32 设置 测试 极限 值 图 8-33 选择 原 有 测试 限制 


(3) NVP。NVP 表示 测试 过 程 中 传播 的 额定 速度 ,通常 情况 下 可 以 通过 测 得 的 传播 延 
迟 来 计算 缆 线 长 度 。 选 定 的 双 绞 线 类 型 所 定义 的 默认 值 代表 该 特定 类 型 的 典型 NVP。 如 
果 需 要 ,还 可 以 输入 另 一 个 值 。 增 加 NVP 将 会 相应 增加 测 得 的 长 度 。 

2) 插座 配置 

输出 配置 设置 值 决定 测试 哪 一 个 缆 线 对 以 及 将 哪 一 个 线 对 号 指定 给 该 线 对 。 要 查看 某 
个 配置 的 线 序 ,选择 Outlet Configuration( 插 座 配 置 ) 屏 幕 中 的 JSample( 取 样 ) 选 项 。 

(1) 双 绞 线 自 动 测试 。 可 以 在 非常 短 的 时 间 内 完成 双 绞 线 自动 测试 也 是 DTX 值得 称 
赞 的 一 个 重要 功能 ,例如 DTX 可 以 在 12s 内 完成 一 个 六 类 双 绞 线 网 络 的 测试 工作 ,并 能 完 
整 准确 地 显示 出 测试 结果 。 双 绞 线 自动 测试 工作 ,可 以 按照 如 下 步骤 完成 。 

QO@ 首先 将 适用 于 当前 任务 的 适配器 连接 至 DTX 测试 仪 及 智能 远 端 ,如 果 在 此 之 前 并 
未 设置 过 双 绞 线 测试 选项 , 则 需要 先 将 旋转 开关 调节 至 Setup 位 置 ,完成 上 述 双 绞 线 设置 选 
项 ,如 果 已 经 完成 双 绞 线 选项 设置 (接着 “ 双 绞 线 设置 "继续 操作 ) 则 只 需 将 旋转 开关 调节 至 
AUTO TEST( 自 动 测试 ) 位 置 即 可 ,此 时 会 显示 图 8-34 所 示 的 界面 ,包括 当前 双 绞 线 设 置 


@。"。 
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的 一 些 详细 信息 ,例如 操作 员 、 地 点 、 是 否 存 储 绘图 数据 等 。 需 要 注意 的 是 ,必须 确保 智能 远 
端 已 经 同时 开启 。 

提示 :“ 更 改 介质 ”按钮 是 用 来 快速 更 改 当前 测试 介质 的 ,例如 如 果 已 经 安装 了 光纤 模 
块 , 则 需要 按 F1( 更 换 介 质 ) 键 ,确认 已 经 选择 了 适合 当前 测试 任务 的 介质 类 型 ,本 例 中 应 确 
认 选 择 的 是 Twisted Pair( 双 绞 线 ) 选 项 。 

@ 按 下 DTX 测试 仪 或 智能 远 端 上 的 TEST 键 即 可 开始 测试 ,显示 图 8-35 所 示 的 界 
面 。 测 试 过 程 中 若 想 取消 测试 , 按 EXIT 键 即 可 。 

小 知识 : 若 启动 测试 过 程 的 同时 启动 音频 发 生 器 ,就 可 以 在 需要 时 使 用 音频 探测 器 , 然 
后 才 进 行 连接 。 信 号 声 也 会 激活 连接 布线 另 一 端 休眠 中 或 电源 已 关闭 的 测试 仪 。 

@ 测试 完成 后 会 在 屏幕 上 显示 图 8-36 所 示 的 信息 ,该 界面 中 显示 的 都 是 在 本 次 测试 
过 程 中 接受 测试 的 参数 选项 和 本 次 测试 的 具体 结果 (通过 或 者 失败 )。 若 想 查看 每 一 项 的 详 
细 信 息 ,可 以 通过 上 下 方向 键 突出 显示 被 查看 项 并 按 ENTER 键 进入 。 需 要 注意 的 是 ,本 例 
的 测试 结果 是 成 功 的 , 当 测试 过 程 失败 时 会 在 Fl 键 对 应 的 上 方 出 现 一 个 “错误 信息 ”选项 ， 
按 Fl 键 即 可 查看 ,同样 按 F2 键 和 F3 键 可 以 分 别 查看 上 一 页 和 下 一 页 。 


TIA cat6 Perm. Link 
cat6UTP 


操作 员 :; Fluke Networks 
地 点 : Fluke Networks 


文件 夹 : default 
存储 绘图 数据 : 是 


图 8-34 双 绞 线 设置 信息 图 8-35 正在 测试 图 8-36 测试 结果 概要 


通常 情况 下 ,具体 测试 中 可 能 出 现 的 结果 包括 以 下 几 种 。 

。 PASS( 通 过 ) : 显示 为 绿色 ,表示 所 有 参数 均 在 极限 值 设置 范围 之 内 。 
。，PASS x (通过 * ): 显示 为 黄色 ,表示 测试 结果 中 有 一 个 或 一 个 以 上 的 参数 准确 度 
在 测试 用 准确 度 不 确定 范围 内 ,并 在 对 应 的 参数 前 标注 蓝 色 ” * ”, 表 示 该 参数 勉强 
可 用 ,但 应 寻求 改善 布线 安装 的 方法 来 消除 勉强 的 性 能 。 
FAIL x (失败 * ): 显示 为 红色 ,意义 同 PASS x 相同 ,但 标识 到 拓 是 6 

是 对 应 参数 面前 会 被 标注 红色 ” * ”, 表示 该 项 参数 性 能 | 
接近 失败 。 注 意 ,对 于 接近 失败 的 测试 结果 应 当 视 为 完 A 


全 失败 来 重新 统一 部 署 。 1AI8A-A.0S 


BBDBDSSSSI bb 


1AI8A-A.06 
。 FAIL( 失 败 ): 显示 为 红色 ,表示 测试 结果 中 有 一 个 或 者 A 


一 个 以 上 的 参数 值 超出 预先 设 定 的 极限 值 。 
@ 为 了 最 后 可 以 查看 到 完整 的 测试 结果 ,建议 在 做 其 他 操 
作 之 前 先 将 测试 结果 保存 到 DTX 测试 仪 的 存储 设备 上 ， 
按 SAVE 键 显示 图 8-37 所 示 的 界面 ,当前 显示 的 是 曾经 保存 的 ”图 8-37 保存 测试 结果 
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测试 结果 。 

@@ 按照 提示 信息 按 EXIT 键 显示 图 8-38 所 示 的 信息 ,通过 上 下 左右 4 个 定位 键 选择 相 
应 的 字符 ,然后 按 ENTER 键 确认 保存 名 称 。 

@ 最 后 再 次 按 SAVE 键 ,完成 测试 结果 保存 。 

(2) 双 绞 线 诊断 。DTX 系列 产品 的 诊断 功能 也 是 非常 强大 的 ,不 仅 可 以 完成 初 装 工程 
的 线 费 测 试 工作 ,还 可 以 在 短 时 间 内 检测 出 网 络 中 出 现 故障 的 位 置 。 利 用 DTX 诊断 网 络 
故障 省 时 省 力 , 是 同类 故障 诊断 工具 速度 的 两 倍 以 上 。 通 常情 况 下 测试 故障 网 络 时 会 显示 
图 8-39 所 示 的 诊断 结果 。 

其 中 诊断 参数 前 面 有 不 同 标记 ,一 般 故 障 诊断 可 能 出 现 的 结果 包括 以 下 几 种 。 

@ 绿色 / : 表示 该 参数 在 预先 设 定 的 极限 值 范围 之 内 。 

@ 蓝 色 i: 表示 参数 已 被 测量 ,但 选 定 的 测试 极限 值 内 没有 “通过 /失败 ”极限 值 。 

@ 红色 X : 表示 该 参数 为 通过 测试 。 

@ 蓝 色 * : 表示 通过 * (可 参照 * 双 绞 线 自动 测试 "中 的 测试 结果 )。 

@@ 红色 * : 表示 失败 * (可 参照 * 双 绞 线 自动 测试 "中 的 测试 结果 )。 

按 F1 键 即 可 查看 错误 信息 ,如 图 8-40 所 示 。 诊 断 屏幕 界面 会 以 图 形 、 图 表 等 通俗 易 懂 
的 方式 显示 可 能 的 失败 原因 及 建议 用 户 可 采取 解决 问题 的 方法 。 诊 断 测试 失败 可 能 产生 一 


个 以 上 的 诊断 屏幕 ,此 时 可 以 通过 上 下 左右 定位 键 切换 查看 。 
1A001A 
本 BcDEFGHIJKLM 
1234867890 7 各 六 扫 订 维持 
Ns A 让 
1685u000 HDTDX 分 析 仪 ‘slr 
心 。 突出 显示 字符 ， 插入 横 耗 ee 
” 按 ENTER X NExT - 
eT Mere 
图 8-38 设置 保存 名 称 图 8-39 故障 诊断 结果 图 8-40 故障 信息 


另外 ,从 故障 信息 界面 中 还 可 以 分 析 得 出 导致 故障 的 原因 ,以 及 故障 位 置 距离 测试 仪 的 
大 概 距 离 ,以便 用 户 迅速 确认 故障 位 置 , 部 署 相应 的 排除 工作 。 如 果 对 当前 显示 的 故障 分 析 
仍 不 满意 ,也 可 以 根据 以 图 形 格式 表示 的 标准 限制 查看 故障 分 析 , 如 图 8-41 所 示 。 通 过 左 
右 定 位 键 移动 光标 可 以 查看 到 每 一 时 刻 状态 数据 。 

4. 光缆 测试 

光缆 由 于 其 自身 的 一 些 特性 原因 ,没有 双 绞 线 那样 灵活 自如 ,但 是 在 远程 数据 传输 或 者 
高 可 靠 性 的 网 络 连接 环境 中 主要 还 是 应 用 光缆 ,因此 光纤 测试 相对 双 绞 线 测试 距离 一 般 比 
较 远 ,所 需 仪器 比较 精密 。 有 了 DTX 就 不 必 担 心 了 ,因为 它 同时 可 以 用 来 测试 和 诊断 光纤 
网 络 , 并 且 通 过 应 用 独家 设计 技术 大 大 提高 了 测试 速度 。 

1) 光纤 设置 

开始 光纤 设置 之 前 首先 将 光纤 模块 按照 安装 说 明 手 册 正 确 安装 好 ,然后 开启 DTX 电 


306 


网 络 管理 与 工具 软件 应 用 


源 ,将 旋转 开关 调节 至 Setup 位 置 ,并 选择 “光纤 "选项 ,接着 按 ENTER 键 即 可 查看 需要 设 
置 的 选项 ,如 图 8-42 所 示 ,包括 光纤 类 型 .测试 极限 值 和 远 端 端点 设置 3 项 ,按照 默认 顺序 
依次 进行 设置 即 可 。 


| 


测试 极限 值 
远 端 端点 设置 


L 


图 8-41 以 图 形 格式 显示 故障 信息 图 8-42 需要 设置 的 光纤 选项 


(1) 光纤 类 型 。 即 选择 适应 当前 测试 任务 的 光纤 类 型 ,根据 分 类 标准 的 不 同 分 类 结果 
也 是 多 种 多 样 的 ,DTX 采用 了 按照 传输 模式 划分 按照 波长 划分 等 多 种 常用 分 类 标准 ,例如 
按照 传输 模式 进行 划分 ,可 以 分 为 单 模 光 纤 和 多 模 光 纤 。 其 中 多 模 光 纤 的 光 芯 比较 粗 ,通常 
有 50pm 和 62. 5pm 两 种 。 由 此 可 见 光纤 的 分 类 是 非常 详细 的 ,所 以 在 选择 光纤 类 型 过 程 
中 应 特别 慎重 。 

O@ 选择 “光纤 类 型 "选项 后 按 ENTER 键 , 即 可 显示 图 8-43 所 示 的 光纤 类 型 选择 页 面 。 
在 这 里 用 户 可 以 选择 通用 光纤 类 型 ,然后 选择 对 应 的 光纤 型 号 ,也 可 以 根据 制造 商 的 不 同 而 
选择 相应 的 光纤 类 型 ,建议 用 户 选 择 “ 通 用 ”选项 。 

@ 选择 “通用 ”选项 后 按 ENTER 键 即 可 进入 详细 的 光纤 类 型 选择 页 面 ,如 图 8-44 所 
示 。 包括 了 各 种 分 类 标准 所 产生 的 分 类 结果 ,如 Multimode 62. 5、Multimode 50、 
Singlemode, Singlemode 9um, Singlemode 18P, Singlemode OSP 和 OF-300 Multimode 
62.5 等; 


通用 Multimode 62.5 


制造 商 Multimode 50 
Singlemode 
Singlemode 9um 
Singlemode 18P 
Singlemode OSP 
OF-300 Multimode 62.5 
OF-500 Multimode 62.5 


OF-2000 Multimode 62.5 ~ 
$ 突出 显示 项 目 
技 ENTER 键 
页 面 页 面 
| | | | 


图 8-43 选择 光纤 类 型 图 8-44 选择 对 应 的 光纤 类 型 


@ 使 用 上 下 方向 键 可 以 选择 不 同 的 选项 ,最 后 按 ENTER 键 即 可 确认 保存 选择 ,返回 
光纤 设置 界面 。 
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(2) 测试 极限 值 。 为 当前 任务 设 定 相 应 的 测试 极限 值 , 以 保证 测试 结果 的 准确 性 。 通 
过 上 下 方向 键 选择 “测试 极限 值 " 选 项 并 按 ENTER 键 显示 图 8-45 所 示 的 界面 。 在 这 里 默 


认 显 示 的 是 DTX 测试 仪 自动 保存 的 最 近 试 用 的 9 项 测试 极限 
值 ,按照 保存 时 间 的 长 短 依次 排列 。 如 果 需 要 对 同一 任务 进行 反 
复 测试 , 则 省 去 了 重新 设置 的 步骤 ,大 大 提高 了 测试 效率 。 

(3) 远 端 端点 设置 。 光 纤 测 试 远 端 端点 设置 共 包括 3 种 ,分 
别 应 用 于 不 同 的 测试 任务 : 用 智能 远 端 模式 来 测试 双重 光纤 布 
线 ; 用 环 回 模式 来 测试 跳 接线 与 光缆 绕 线 盘 ; 用 远 端 信号 源 模式 
及 光学 信号 源 模 式 来 测试 单独 的 光纤 。 

(4) 双向 。 根 据 当 前 执行 的 测试 任务 决定 是 否 选择 双向 模 


EN50173 Fiber Optic Link 


General Fiver Optic 
10GBASE-L 
1000BASE-LX 
1SO11801 Fiber Optic Channel 
ISO 11801 Fiber Optic Link 
TIA568B Fiber Horiz (Spmkr) 
TIA 568B Fiber Backbone (Smkr) 


未 项 目 


” 按 ENTER 刍 


式 ,例如 , 若 当前 测试 任务 是 双向 测试 , 则 应 选择 为 "是 "。 在 *“ 智 “性 琶 
能 远 端 " 或 * 环 回 "模式 中 启用 * 双 向 "测试 时 ,测试 仪 提示 要 在 测 图 8.45 曾 用 测试 极限 值 


试 半途 切换 测试 连接 。 在 每 组 波长 条 件 下 ,测试 仪 可 对 每 根 光缆 
进行 双向 测量 (850 nm/1300 nm,850 nm/1310 nm 或 1310 nm/1550 nm)。 

(5) 适配器 数目 和 拼接 点 损耗 。 输 入 将 在 设置 参考 后 被 添加 至 光纤 路 径 的 每 个 方向 的 
适配器 及 熔接 数 。 如 果 所 选 的 极限 值 使 用 计算 的 损耗 极限 值 ,输入 在 设置 参数 后 将 被 添加 
至 光纤 路 径 的 适配器 数目 。 拼 接点 损耗 是 指 每 千 米 损 耗 .每 连接 器 损耗 及 每 拼接 点 损耗 最 
大 值 的 极限 值 ,使 用 计算 极限 值 作为 总 损耗 。 

(6) 连接 点 类 型 。 选 择 用 于 待 测 布线 的 连接 器 类 型 ,如 果 未 列 出 实际 的 连接 器 类 型 ,可 
以 选择 “通用 ”选项 。 此 设置 值 仅 会 影响 显示 作为 基准 连接 的 图 表 。 

(7) 测试 方法 。 损 耗 结 果 包含 设置 基准 后 添加 的 连接 。 基 准 及 测试 连接 可 决定 将 哪个 
连接 包含 于 结果 当中 。 测 试 方法 决定 所 含 端点 连接 数 的 不 同 , 包 括 A、B.C 共 3 种 。 

@ 方法 A: 损耗 结果 包含 链 路 一 端的 一 个 连接 。 

@ 方法 B: 损耗 结果 包含 链 路 两 端的 连接 。 

@ 方法 C: 损耗 结果 不 包含 链 路 各 端的 连接 , 仅 测量 光纤 损耗 。 

以 上 3 种 测试 方法 只 是 对 于 DTX 测试 设备 而 言 的 ,另外 ,工业 标准 中 对 于 相同 的 测试 
方法 所 采用 的 名 称 也 是 不 同 的 , 表 8-1 中 列 出 的 是 DTX 测试 仪 标准 和 四 大 通用 工业 标准 所 
采用 的 3 种 光纤 测试 方法 的 对 比 情况 。 


表 8-1 DTX 标准 名 称 和 四 大 通用 工业 标准 名 称 


损耗 结果 包含 的 mix 调试 位 TIA/EIA-526-14A| TIA/EIA-526-7 | IEC 61280-4-1 | IEC 61280-4-2 
链 路 端点 连接 数 (多 模 ) ( 单 模 ) (多 模 ) ( 单 模 ) 
1 个 连接 方法 A 方法 A 方法 A-2 方法 1 方法 A-2 
2 个 连接 方法 B 方法 B 方法 A-1 方法 2 方法 A-1 
无 连接 方法 C 方法 C 方法 A-3 方法 3 方法 A-3 


(8) 折射 率 来 源 (n)。 此 设置 值 不 会 影响 损耗 的 测试 结果 。 它 将 与 测试 结果 一 同 保存 ， 
以 记录 用 户 所 用 的 方法 ,测试 仪 使 用 目前 选 定 的 光纤 类 型 (默认 值 ) 所 定义 的 折射 率 (z) 或 
用 户 值 。 选 定 的 光纤 类 型 所 定义 的 默认 值 代表 该 特定 光纤 类 型 的 典型 值 。 如 果 需 要 ,可 以 
输入 另 一 个 值 。 若 要 决定 实际 的 值 , 更 改 折 射 率 ,直到 测 得 的 长 度 符合 光纤 的 已 知 长 度 。 增 
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加 折射 率 将 会 增加 测 得 的 长 度 。 

2) 光纤 类 型 选择 

完成 光纤 设置 之 后 ,接着 还 要 选择 用 于 参照 测试 的 光纤 类 型 ,在 本 DTX 测试 仪 上 设置 
测试 参照 非常 简单 。 

(1) 首先 将 旋转 开关 调节 至 SPECIAL FUNCTIONS( 特 殊 参 数 ) 位置, 此 时 会 显示 
图 8-46 所 示 的 界面 ,在 这 里 需要 选择 “设置 基准 ”选项 ,其 他 选项 均 可 保持 默认 状态 。 

(2) 选择 “设置 基准 ”选项 后 按 ENTER 键 ,显示 图 8-47 所 示 的 界面 。 设置 过 程 中 会 出 
现 详 细 的 提示 信息 帮助 用 户 完成 每 一 步 操作 ,因此 即使 用 户 刚刚 接触 DTX 也 不 会 感到 困 
难 。 从 该 界面 中 的 提示 信息 可 以 看 出 ,当前 的 DTX 测试 仪 上 只 安装 了 光纤 测试 模块 ,所 以 
在 “ 链 路 接口 适配器 "选项 下 面 仅 有 一 个 “光缆 模块 ”选项 可 选 , 如 果 既 安装 了 光缆 模块 又 连 
接 了 双 绞 线 适配器 , 则 为 了 测试 任务 的 顺利 完成 就 应 当 确认 选择 的 是 “光缆 模块 "选项 。 

(3) 按 ENTER 键 之 后 ,设置 基准 屏幕 画面 将 会 显示 用 于 所 选 的 测试 方法 (本 图 为 方法 
B) 的 基准 连接 ,如 图 8-48 所 示 ,简洁 的 图 形 界面 更 加 通俗 易 懂 。 清 洁 测 试 仪 上 的 连接 器 及 
跳 接线 ,连接 测试 仪 及 智能 远 端 ,然后 按 TEST 键 。 


查看 / 制 除 结果 选择 有 竺 
移动 /复制 内 部 结果 设置 基准 的 
音频 信号 发 生 器 适配器 接口 。 
内 存 状态 
电池 状态 链 路 接口 适配器 
自 检 模块 
更 新 软件 
版 本 信息 
图 8-46 ”特殊 参数 图 8-47 选择 接口 适配器 图 8-48 设置 参照 方式 


(4) 完成 参照 设置 之 后 ,DTX 将 会 以 两 种 波长 显示 选择 信息 ,并 且 会 同时 显示 选择 的 
测试 方法 ,参照 日 期 和 具体 时 间 , 如 图 8-49 所 示 。 

(5) 清洁 布线 系统 中 的 待 测 连接 器 ,然后 将 跳 接 线 连接 至 布线 。DTX 测试 仪 将 显示 用 
于 所 选 测试 方法 的 连接 方式 ,以便 进行 更 精确 的 测试 ,如 图 8-50 所 示 。 


a 本 二 
a D 
-21.4 -18.0 的 
-21.5 -20.9 人 本 
加 入 OD 
方法 B 适配器 0 
和 跳 接线 
02/23/2004 13:49:26 
查看 跳 接线 
设置 入 | 加 


图 8-49 查看 基准 图 8-50 查看 连接 方式 
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(6) 按 F2 键 (确定 键 ) ,保存 所 做 的 设置 即 可 开始 光纤 自动 测试 任务 。 

设置 参照 基准 并 不 复杂 ,但 需要 注意 的 是 ,如 果 在 设置 基准 后 将 跳 接线 从 测试 仪 或 智能 
远 端 的 输出 端口 断 开 , 则 需要 再 次 设置 基准 以 确保 有 效 的 测量 。 

3) 光纤 自动 测试 

DTX 测试 仪 的 光纤 测试 模块 通过 双 波长 和 双向 测试 使 测试 速度 提高 了 许多 ,这 两 种 光 
纤 测试 均 可 在 12s 内 完成 ,是 其 他 同类 测试 仪器 所 望尘莫及 的 。 

(1) 将 旋转 开关 调节 至 AUTOTEST( 自 动 测试 ) 位 置 , 确 认 介质 类 型 设置 为 光纤 ,如 果 
需要 切换 , 按 F1( 更 换 介质 ) 键 即 可 实现 。 

(2) 按 DTX 测试 仪 或 者 智能 远 端 的 TEST( 测 试 ) 键 , 即 可 开始 测试 ,显示 图 8-51 所 示 
的 正在 测试 界面 , 按 EXIT 键 即 可 取消 测试 。 

(3) 稍 等 测试 完成 之 后 即 可 显示 图 8-52 所 示 的 测试 结果 ,该 界面 中 显示 的 是 输出 光纤 
的 详细 测试 结果 ,包括 输入 光纤 和 输出 光纤 的 损耗 情况 及 长 度 。 

(4) 选择 某 项 摘要 信息 后 按 Enter 键 即 可 进入 查看 其 详细 结果 的 界面 ,如 图 8-53 所 示 。 
显示 结果 更 为 直观 ,从 图 中 分 析 可 得 本 次 自动 测试 过 程 中 的 实际 损耗 状态 ,以 及 同 预先 设 定 
的 极限 值 的 比较 情况 。 


损 烽 : 0.31d B 
NI、 极限 值 : 2.00d B 
So 余 量 :1.69d B 


M 损耗 〈 主 端 - 交 远 端 ) 


kw 850 rm 损 插 :0.18d B 
SN 全 极限 值 ，2.00d B 


:> 哆 余 虽 : 1.82dB 


VISION 


WF 多 

图 8-51 正在 进行 光纤 测试 图 8-52 ”测试 结果 概要 图 8-53 详细 测试 结果 

(5) 最 后 根据 提示 信息 按 Save 键 保存 测试 结果 。 建 议 在 查看 每 项 测试 结果 详细 信息 
之 前 进行 保存 ,以 免 由 于 误 操 作 而 导致 信息 丢失 。 

在 光纤 自动 测试 过 程 中 应 特别 注意 ,如 果 选 择 了 双向 测试 ,在 测试 过 程 中 可 能 会 中 途 提 
示 切 换 光纤 , 即 切换 适配器 的 光纤 而 并 非 测 试 仪 端口 的 光纤 。 


8.3 ”网 络 逻 辑 链 路 管理 


除 物 理 链 路 会 造成 网 络 连接 故障 外 ,逻辑 链 路 的 不 正确 配置 同样 会 造成 网 络 连接 故障 。 
如 所 使 用 的 网 络 协议 不 正确 ,IP 地 址 配置 不 正确 等 ,此 时 , 则 可 以 使 用 Windows 自 带 的 测 
试 工具 测试 网 络 链 路 故障 。 

8.3.1 IP 网 络 连 通 性 测试 工具 ping 


ping 命令 是 网 络 中 使 用 频率 相当 高 的 命令 ,经 常 是 在 网 络 不 通 或 传输 不 稳定 时 管理 员 
的 首选 工具 。ping 命令 内 置 于 Windows 系统 的 TCP/IP 协议 中 ,使 用 ICMP 协议 来 简单 地 
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发 送 一 个 数据 包 并 请 求 应 答 ,接收 请 求 的 目的 主机 再 次 使 用 ICMP 发 回 同 所 接收 的 数据 一 
样 的 数据 。Ping 命令 可 以 清楚 地 了 解 每 个 数据 包 的 发 送 和 接收 的 往返 时 间 , 并 报告 无 响应 
数据 包 的 百分比 ,对 确定 网 络 是 否 正确 连接 、 网 络 连 接 的 状况 ( 包 丢 失 率 ) 是 十 分 有 用 的 。 

ping 命令 应 用 非常 广泛 ,不 仅 可 以 测试 与 其 他 计算 机 的 连通 性 ,还 可 以 用 来 测试 网 卡 
是 否 安装 正确 、 通 过 主机 名 查看 IP 地 址 等 。 一 般 情况 下 ,可 以 通过 “ping IP 地 址 ”或 “ping 
计算 机 名 ”的 方法 来 判断 网 络 连 通 性 。 

实例 1: 通过 IP 地 址 测试 与 其 他 计算 机 的 连通 性 

通过 Ping IP 地 址 的 方法 可 以 判断 本 地 计算 机 与 其 他 计算 机 的 连通 性 ,或 者 判断 对 方 
计算 机 是 否 在 线 等 。 这 是 局 域 网 中 最 常用 的 操作 

例如 ,测试 与 局 域 网 中 一 个 IP 地 址 为 192. 168. 1. 77 的 计算 机 是 否 能 够 连通 。 在 命令 
提示 符 中 输入 如 下 命令 


率 ) 


ping 192.168.1.77 

按 Enter 键 运行 ,ping 命令 便 开 始 测试 ,如 果 能 够 连通 ,就 会 返回 一 些 数值 ,如 时 间 、 
TTL 值 等 ,如 图 8-54 所 示 ,说 明 对 方 计算 机 当前 在 线 , 并 且 能 与 该 计算 机 连通 。 根 据 所 返 
回 的 时 间 和 TTL( 生 存 时 间 ) 值 ,还 可 以 了 解 到 网 络 的 大 致 性 能 : 时 间 值 越 大 ,说 明 Ping 的 
时 间 越 长 ,网 络 延 时 越 大 , 则 网 络 性 能 也 就 越 不 好 ; 如 果 时 间 越 小 , 则 说 明 网 络 状 况 越 好 。 


二 


图 8-54 Ping 通 IP 地 址 


如 果 运 行 ping 命令 时 返回 信息 为 “请 求 超时 ”, 则 表示 不 能 与 该 计算 机 连通 ,如 图 8-55 
所 示 。 这 种 情况 说 明 可 能 是 对 方 计 算 有 了 不 返回 ICMP 包 ,或 者 与 对 方 计算 机 的 网 络 
不 通 , 或 测试 计算 机 未 在 线 , 也 有 可 能 安装 了 防火 墙 


图 8-55 不 能 Ping 通 


. 
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实例 2: 通过 计算 机 名 测试 与 其 他 计算 机 的 连通 性 

如 果 不 知道 对 方 计算 机 的 IP 地 址 ,只 知道 对 方 的 计算 机 名 ,也 可 以 使 用 ping 命令 测 
试 ,同时 ,还 可 以 得 到 对 方 计算 机 的 IP 地 址 。 

例如 ,现在 要 测试 局 域 网 中 一 台 名 为 hstjl-PC 计算 机 的 连通 性 ,在 命令 提示 符 中 输入 如 
下 命令 。 


ping hstjl-PC 


按 Enter 键 运行 ,ping 命令 开始 测试 ,如 果 能 够 连接 ,就 会 返回 相应 数值 ,如 图 8-56 所 示 ， 
说 明 与 该 计算 机 的 连接 正常 。 在 返回 值 中 ,还 会 显示 对 方 计算 机 的 他 地 址 , 即 192. 168. 1. 229。 


国人 $I = 
yping hetjl-PC 


'g 192.168.1.229 具有 32 


图 8-56 ”Ping 计算 机 名 


如 果 在 Ping 计算 机 名 时 返回 “Ping 请 求 找 不 到 主机 hsczc。 请 检查 该 名 称 , 然 后 重 试 ” 
计 息 , 则 说 明 网 络 中 没 ea 和 ed 算 机 ,或 者 是 无 法 与 该 计算 机 连通 ,也 可 能 是 本 地 


主机 heeze。 请 检查 该 名 称 ， 然 后 重 试 。 


图 8-57 未 检查 到 主机 名 


实例 3: 测试 与 Internet 的 连通 性 

用 户 在 浏览 网 页 时 ,经 常会 遇 到 网 页 不 能 正常 打开 的 情况 。 此 时 可 以 使 用 ping 命令 检 
查 本 地 计算 机 到 Internet 的 连通 性 ,同时 也 可 以 获得 该 网 站 的 IP 地 址 。 

在 返回 的 结果 中 ,包括 所 测试 网 站 的 IP 地 址 及 连通 信息 等 。 说 明 可 以 解析 域名 并 与 该 
网 站 连通 。 

提示 : 有 许多 网 站 设置 了 不 返回 ICMP 包 , 在 使 用 ping 命令 时 也 会 返回 “请 求 超时 ”的 消 
息 , 因 此 ,测试 时 应 多 Ping 几 个 网 站 。 如 果 此 时 仍然 可 以 解析 出 该 网 站 的 IP 地 址 ,说明 本 地 
计算 机 可 以 连接 DNS 服务 器 。 如 果 网 络 中 没有 专用 的 DNS 服务 器 , 则 说 明 计算 机 可 以 上 网 。 

在 测试 与 Internet 的 连通 时 ,如 果 网 站 禁止 Ping 入 , 则 在 命令 行 提示 符 窗口 中 提示 “请 
求 超时 ”信息 ,但 是 可 以 获得 该 网 站 IP 地 址 202. 108. 22. 43 ,如 图 8-58 所 示 。 

打开 IE 浏览 器 ,在 地 址 栏 中 输入 网 站 的 IP 地 址 202. 108. 22. 43, 运 行 直 接 打开 网 站 ， 
如 图 8-59 所 示 。 
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slsersvezcyping wu.baidu.com 


| 正在 Ping ww.a.shifen.con [282.188.22.43] 具有 32 字 节 的 数据 : 


图 8-58 网 站 禁止 Ping 人 


BE 下, tr - Windows Internet Eplorer 
GO Beene na 本 
enn TR 
ee 
00 
Bai 人 dh 百度 
新 轴 网 页 周到 知道 MP3 图 a 
了 -可 斌 
ar | ee 
i RE 


图 8-59 百度 网 站 首页 


实例 4: 测试 服务 器 或 网 络 设备 的 性 能 

如 果 欲 查看 网 络 中 某 台 服务 器 或 设备 的 性 能 如 何 , 也 可 以 通过 长 时 间 不 断 地 Ping 来 查 
看 丢 包 现象 ,从 而 判断 对 方 设备 的 性 能 

在 命令 提示 符 中 输入 如 下 命令 


ping 192.168.100.2 -t 


人 人 人 


行 ,ping 命令 便 会 开始 不 间断 地 Ping 该 IP 地址 ,如 图 8-60 所 示 。 从 该 图 中 
常 出 现 与 该 全 地 址 的 不 能 连通 的 情况 ,说 明 该 服务 器 或 网 络 设备 并 不 稳定 


按 Enter 旬 
可 以 看 出 , 


>I] 


2 的 回复 : 
的 回复 
的 回复 
的 
的 


图 8-60 测试 服务 器 或 设备 性 能 


. 
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提示 : ping 命令 加 上 -t 参数 运行 后 ,会 一 直 Ping 下 去 ,不 会 自动 停止 , 需 使 用 Ctrl 十 C 
键 手动 停止 

实例 5: 测试 所 发 出 的 测试 包 的 个 数 
认 情 况 下 ,Ping 只 发 送 4 个 数据 包 ,ji 送 的 个 数 ,对 衡量 网 
络 的 稳定 性 很 有 帮助 ,例如 测试 发 送 10 个 数据 包 的 返回 平均 时 间 、 最 快 时 间 和 最 慢 时 间 分 


n count 命令 定义 


寸 - 


别 是 多 少 


少 。 
在 命令 提示 符 窗 口中 输入 命令 。 

ping -n 10 192.168.100.2 

按 Enter 键 运行 ,如 图 8-61 所 示 ,在 给 192. 168. 100. 2 发 送 10 个 数据 包 的 过 程 中 ,返回 了 
) 个 ,丢失 为 0。 在 这 10 个 数据 包 当 中 返回 速 度 为 4ms。 


不 最 短 为 0ms, 最 长 为 43ms, 平 


2 
的 加 
的 回 : 
的 加 
的 回 : 
的 加 
的 加 
的 加 
的 加 
的 回复 
的 加 


图 8-61 测试 所 发 出 的 测试 包 的 个 数 


实例 6: 定义 echo 数据 包 大 小 
在 默认 的 情况 下 ,Windows 系 乡 
己 定义 其 的 大 小 ,但 最 大 只 能 发 
在 命令 提示 符 窗口 中 输入 命令 


的 ping 命令 发 送 的 数据 包 大 小 为 32B, 用 户 也 可 以 自 


5500B 


ping -1 1000 -t 192.168.100.2 


按 Enter 键 运行 ,如 图 8-62 所 示 。 这 样 就 会 不 停 地 向 192. 168. 100. 2 计算 机 发 送 大 小 
为 1000B 的 数据 包 。 直 至 用 户 按 Ctrl 十 C 键 停止 


aeravezeyping -1 i988 ~ 192.168 


正在 Ping 192.168 .188.2 具有 i998 


人 


复 : 
复 
得 
复 
相 
各 
和 
复 
4 
复 
复 
复 
加， 
各 
各 


的 | 
的 回 
的 | 
的 
的 | 
的 | 
的 
的 | 
国 
的 | 
的 | 
的 | 
的 
国 
的 | 
的 | 
的 | 


图 8-62 定义 echo 数据 包 大 小 
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8.3.2 知识 链接 : ping 命令 介绍 


1. ping 命令 的 应 用 

造成 网 络 性 故障 的 原因 有 很 多 ,要 解决 网 络 连接 性 故障 , 需 逐 步 排除 各 个 环节 ,例如 本 地 
网 卡 、 网 络 协议 .本 地 网 络 电缆 以 及 到 远程 计算 机 的 连接 等 ,这 些 均 可 使 用 ping 命令 完成 。 

(1) 测试 网 卡 

如 果 计 算 机 与 不 能 与 其 他 计算 机 或 Internet 正常 连接 ,首先 需要 检查 本 地 网 卡 是 否 正 
常 。 网 卡 可 能 会 因为 驱动 程序 安装 不 正常 .没有 安装 必需 的 通信 协议 等 情况 造成 不 能 连接 
网 络 。 此 时 ,可 使 用 “ping 本 地 IP 地 址 ?或 者 “ping 127. 0. 0.1"? 进 行 测试 ,通过 测试 可 以 得 
到 以 下 信息 。 

QO@ 是 否 正确 安装 了 网 卡 。 如 果 测 试 成 功 , 说 明 网 卡 没有 问题 ; 如 果 测 试 不 成 功 , 说 明 
该 网 卡 驱动 程序 或 TCP/IP 协议 没有 正常 安装 。 

检查 网 卡 驱动 步骤 为 : 打开 “设备 管理 器 ”窗口 ,展开 “网 络 适配器 ”目录 ,查看 网 卡 是 否 
有 一 个 黄色 的 “!”。 如 果 有 ,就 需 重新 安装 驱动 程序 。 

提示 : 127. 0. 0. 1 是 本 地 网 卡 的 默认 回环 地 址 ,无 论 网 卡 中 是 否 分 配 了 1JP 地 址 ,该 地 址 
都 会 存在 , 且 仅 在 本 地 计算 机 中 有 效 , 在 网 络 中 无 效 。 

@ 是 否 正确 安装 了 TCP/IP 协议 。 如 果 测 试 成 功 ,说 明 网 卡 TCP/ 了 PP 协议 没有 问题 。 
如 果 不 成 功 并 且 网 卡 驱动 程序 安装 正常 , 则 应 检查 本 地 网 卡 的 “本 地 连接 ”属性 ,查看 是 否 正 
确 安装 了 TCP/IP 协议 。 

@ 是 否 正确 配置 了 IP 地 址 和 子 网 掩 码 。 如 果 “ping 127. 0.0.1” 成 功 ,但 “ping 本 地 IP 
地 址 ”不 成 功 ,说 明 没有 正确 配置 IP 地 址 。 应 打开 本 地 网 卡 的 “本 地 连接 ”属性 窗口 ,检查 
IP 地 址 和 子 网 掩 码 是 否 设置 正确 ,并 进行 正确 配置 。 

(2) 测试 局 域 网 连接 

通过 Ping 局 域 网 内 其 他 计算 机 或 服务 器 的 计算 机 名 或 IP 地 址 ,可 测试 网 络 ( 或 同一 
VLAN) 的 连接 是 否 正常 。 

@ 检测 IP 地 址 和 子 网 掩 码 设置 是 否 正确 。 如 果 局 域 网 内 的 计算 机 ping 不 通 , 则 应 检 
查 网 络 连接 的 IP 地 址 和 子 网 掩 码 配置 是 否 正 确 。 

@ 确认 网 络 连 接 是 否 正 常 。 如 果 IP 地 址 和 子 网 掩 码 设置 成 功 ,但 仍 ping 不 通 , 应 当 对 
网 络 设备 和 通信 介质 逐 段 测试 .检查 和 排除 。 

(3) 测试 与 远程 主机 的 连接 

通过 ping 命令 可 以 测试 与 远程 主机 的 连接 是 否 正常 ,尤其 是 与 Internet 的 连接 。 该 测 
试 可 通过 Ping 远程 主机 的 IP 地 址 或 域名 来 判断 网 络 中 的 故障 。 

QO 确认 是 否 能 连接 Internet。 如 果 计 算 机 不 能 浏览 网 页 ,可 以 ping 网 站 域名 ,如 果 能 
Ping 通 , 说 明 计算 机 与 Internet 连接 正常 ,请 检查 本 地 DNS 服务 或 系统 故障 。 如 果 不 能 
Ping 通 ,可 能 是 对 方 网 站 没有 运行 ,或 本 地 计算 机 根本 不 能 连接 Internet ,应 检查 本 地 网 关 
或 服务 器 故障 。 

@ 确认 DNS 服务 器 设置 是 否 正 常 。 如 果 使 用 ping 命令 可 以 ping 通 Internet 上 的 IP 
地 址 ,但 打 不 开 网 页 , 则 可 能 是 DNS 服务 器 设置 有 问题 ,Ping 本 地 DNS 服务 器 确认 是 否 能 
正常 连接 ,并 在 网 络 连接 属性 中 检查 DNS 服务 器 设置 。 
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@ 确认 本 地 Internet 连接 是 否 正常 。 如 果 与 任何 一 个 主机 的 连接 都 超时 ,或 丢 包 率 都 非 
常 高 , 则 应 当 与 ISP 共同 检查 Internet 连接 ,包括 线路 .Modem 和 路 由 器 等 多 方面 的 设置 。 

2. ping 命令 参数 

ping 命令 的 功能 非常 强大 , 除 上 述 功能 外 ,车 配合 相应 的 参数 使 用 ,还 可 实现 更 多 的 功能 。 

语法 格式 如 下 。 

ping [日 Ca] Cn Count] Cl Size] Cf Ci TTL] Lv TOS] Cr Count] [Cs Count] [{-j HostList | -k 

HostList}] [-w Timeout] [-R] [-R] [CS SrcAddr] [-4] [-6] TargetName 

各 参数 说 明 如 下 。 

(1) -t: 向 目的 地 持续 发 送 回响 请 求 信息 。 

(2) -a: 对 目的 地 耳 地 址 进行 反 向 名 称 解析 。 如 果 解 析 成 功 ,Ping 将 显示 相应 的 主机 名 。 

(3) -n Count : 定义 用 来 测试 所 发 出 的 测试 包 的 个 数 ,默认 值 为 4。 

(4) -1 Size: 指定 发 送 的 回响 请 求 消息 中 “数据 "字段 的 长 度 (以 字 节 为 单位 )。 默 认 值 
为 32 ,Size 的 最 大 值 是 65527。 由 于 过 大 的 数据 包 会 占用 大 量 的 带宽 ,因此 , 曾 被 黑客 作为 
攻击 服务 器 的 一 种 手段 。 

(5) -f; 指定 发 送 的 “ 回 显 请 求 " 中 其 IP 标 头 中 的 “不 分 段 " 标 记 被 设置 为 1( 只 适用 于 
IPv4)。“ 回 显 请 求 ”消息 不 能 在 到 达 目 标的 途中 被 路 由 器 分 段 。 

(6) -i TTL: 指定 回响 请 求 消息 的 IP 数据 头 中 的 TTL 值 。 其 默认 值 是 主机 的 默认 
TTL 值 ,TTL 的 最 大 值 为 255。 

(7) -v TOS: 指定 发 送 的 “ 回 显 请 求 ”消息 的 IP 标 头 中 的 “服务 类 型 "(TOS) 字 段 值 (只 
适用 于 IPv4 可 用 )。TOS 的 值 是 0 一 255 之 间 的 十 进 制 数 ,默认 值 是 0。 

(8) -r Count: 指定 IP 标 头 中 的 “记录 路 由 ”选项 ,用 于 记录 由 “ 回 显 请 求 ” 消 息 和 相应 
的 “ 回 显 请 求 ”消息 使 用 的 路 径 (只 适用 于 IPv4) 。Count 的 最 小 值 为 1, 最 大 值 为 9。 

(9) -s Count: 指定 IP 数据 头 中 的 “Internet 时 间 戳 ”选项 ,用 于 记录 每 个 路 点 的 回响 请 
求 消息 和 相应 的 回响 应 答 消息 的 到 达 时 间 。Count 的 最 小 值 是 1, 最 大 值 是 4。 

(10) -j HostList: 指定 “ 回 显 请 求 "消息 对 于 HostList 中 指定 的 中 间 目 标 集 在 IP 标 头 
中 使 用 *“ 稀 朴 来 源 路 由 ”选项 (只 适用 于 IPv4) 。 使 用 稀 玻 来 源 路 由 时 . 相 邻 的 中 间 目 标 可 以 
由 一 个 或 多 个 路 由 器 分 隔 开 。 

(11) -k HostList: 指定 “ 回 显 请 求 " 消 息 对 于 HostList 中 指定 的 中 间 目 标 集 在 IP 标 头 
中 使 用 “严格 来 源 路 由 ”选项 (只 适用 于 IPv4)。 

(12) -w Timeout: 指定 等 待 回响 应 答 消 息 响应 的 时 间 ( 以 ms 计 ), 该 回响 应 答 消息 响 
应 接收 到 的 指定 回响 请 求 消息 。 如 果 在 超时 时 间 内 未 接收 到 回响 应 答 消息 ,将 会 显示 ”请 求 
超时 "的 错误 消息 。 默 认 的 超时 时 间 为 4000ms(4s) 。 

(13) -4: 指定 将 IPv4 用 于 Ping。 不 需要 用 该 参数 识别 带 有 IPv4 地 址 的 目标 主机 。 仅 
需要 它 按 名 称 识别 主机 。 

(14) -6: 指定 将 IPv6 用 于 Ping。 不 需要 用 该 参数 识别 带 有 IPv6 地 址 的 目标 主机 。 仅 
需要 它 按 名 称 识别 主机 。 

(15) TargetName: 指定 目标 主机 的 名 称 或 IP 地 址 。 

3. 常见 的 出 错 信 息 

用 户 在 使 用 ping 命令 诊断 网 络 故障 过 程 中 ,经 常会 遇 到 一 些 错误 提示 信息 ,这 些 错误 


. 
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信息 正 是 排除 故障 的 重要 突破 口 。 

(1) Unknown host 

Unknown host( 不 知名 主机 ) ,表示 该 远程 主机 的 名 字 不 能 被 命名 服务 器 转换 成 IP 一 
址 。 故 障 原因 可 能 是 命名 服务 器 有 故障 ,或 者 其 名 字 不 正确 ,或 者 网 络 管理 员 的 系统 与 远 
主机 之 间 的 通信 线路 有 故障 。 

(2) Network unreachable 

Network unreachable( 网 络 不 能 到 达 ), 表 示 本 地 系统 没有 到 达 远 程 系统 的 路 由 ,可 用 
netstat -rn 检查 路 由 表 来 确定 路 由 配置 情况 。 

(3) No answer 

No answer( 无 响应 ) ,表示 远程 系统 没有 响应 。 这 种 故障 说 明 本 地 系统 有 一 条 到 达 远 
主机 的 路 由 ,但 却 接收 不 到 发 回 的 任何 分 组 报 文 。 故 障 原 因 可 能 是 远程 有 工作 、 本 
远程 主机 网 络 配置 不 正确 ,本 地 或 远程 的 路 由 器 没有 工作 .通信 线路 有 故障 或 者 远程 主 
机 了 在 路 由 选择 问题 。 

(4) Timed out 

Timed out( 超 时 ) ,表示 与 远程 主机 的 链接 超时 ,数据 包 丢 失 。 故 障 原因 可 能 是 本 地 主 
机 到 路 由 器 的 连接 问题 .路 由 器 不 能 通过 ,也 可 能 是 远程 主机 无 响应 ,远程 主机 禁 Ping 或 者 


死机 。 

8.3.3 路径 信息 提示 工具 pathping 

pathping 命令 提供 有 关 在 源 和 目标 之 间 的 中 间 跃 点 处 ,网 络 沾 后 和 网 络 丢 失 的 信息 
pathping 命令 在 一 段 时 间 内 将 多 个 回响 息 发 送 到 源 和 目标 之 间 的 各 个 路 由 器 


we 个 路 由 器 返回 的 数据 包 计 算 结果 。 因 为 Pathping 可 以 表示 在 任何 特定 路 由 器 或 链 
处 的 数据 包 的 丢失 程度 ,所 以 根据 这 些 信 息 可 以 确定 存在 网 络 问题 的 路 由 器 或 子 网 。 
实例 1: 显示 本 地 计算 机 和 服务 器 之 间 的 路 径 信息 
在 命令 提示 符 窗口 中 输入 如 下 命令 
pathping -n www. tsinghua. edu. cn 


按 Enter 键 运行 ,显示 图 8-63 所 示 的 运行 结果 。 


nm 0466.111.4.499] 的 路 由 : 


ex 
站 
站 
可 
站 
ex 


282.286 .233.133 
Mn 


图 8-63 显示 本 地 计算 机 和 服务 器 之 间 的 路 径 信 息 


. 
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首先 显示 路 径 信 息 ,然后 将 显示 消息 的 繁忙 情况 ,显示 时 间 随 着 跃 点 数 的 变化 而 变化 。 
在 此 期 间 , 会 从 列 出 的 所 有 路 由 器 及 其 链接 之 间 收 集 相关 的 信息 。 

在 Address 列 中 所 显示 的 链接 丢失 速率 (以 垂直 线 | 表示 ) 表 明 造 成 路 径 上 转发 的 数据 
包 丢失 的 链 路 处 于 堵塞 状态 。 路 由 器 显示 的 丢失 速率 (由 IP 地 址 标识 ) 表 明 这 些 路 由 器 可 
能 已 经 超载 。 

实例 2: 显示 连接 到 远程 网 关 的 路 径 信息 

在 命令 提示 符 下 输入 如 下 命令 。 

pathping -n 192.168.1.1 


按 Enter 键 运 行 ,显示 图 8-64 所 示 的 运行 结果 。 


-192.168.1. 


到 | 192.168.1.1 的 路 由 


192.168.1.78 


ee 
= Be 192.168.1.1 


图 8-64 显示 连接 到 远程 网 关 的 提示 信息 


8.3.4 知识 链接 : pathping 命令 介绍 
pathping 命令 的 语法 如 下 


pathping Cn] Ch MaxinamHops] Cg HostList] Cp Period] Ed NamQueries. Ew Tiimeoud] 

[-iIPAddress] [-4 IPv4] [-6 IPv6][LTargetName 

各 参数 说 明 如 下 

(1) -n: 阻止 pathping 试图 将 中 间 路 由 器 的 IP 地 址 解析 为 各 自 的 名 称 , 使 用 该 参数 可 
以 加 快 显示 Pathping 的 结果 。 

(2) -h MaximumHops: 在 搜索 目标 (目的 ) 的 路 径 中 指定 跃 点 的 最 大 数 ,默认 值 为 30 路 点 。 

(3) -g HostList: 指定 “ 回 显 请 求 ? 消 息 在 IP 标题 中 使 用 “ 稀 玩 资 源 路 由 ”选项 ,该 IP 标 
题 带 有 HostList 中 指定 的 中 间 目 标 集 。 

(4) -p Period: 指定 两 个 连续 的 Pathping 之 间 的 时 间 间 隔 ( 以 ms 为 单位 ) 。 默 认 值 为 
250 毫秒 (1/4 秒 ) 。 

(5) -q NumQueries: 指定 发 送 到 路 径 中 每 个 路 由 器 的 “ 回 显 请 求 消 息 数 。 默 认 值 为 
100 个 查询 。 

(6) -w Timeout: 指定 等 待 应 答 的 时 间 ( 以 ms 为 单位 ) 。 默 认 值 为 3000ms(3s)。 

(7) -IIPAddress: 指定 源 地 址 。 

(8) -4 IPv4: 指定 Pathping 只 使 用 IPv4 。 

(9) -6 IPv6: 指定 Pathping 只 使 用 IPv6 。 

(10) TargetName: 指定 目的 端 , 既 可 以 是 IP 地 址 .也 可 以 是 主机 名 。 
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注意 事项 如 下 。 

(1) pathping 命令 的 参数 是 区 分 大 小 写 的 。 

(2) 为 避免 网 络 堵塞 ,建议 以 非常 慢 的 速度 发 送 Pathping 信号 。 

(3) 为 减 小 突 发 丢失 所 造成 的 影响 ,发 送 Pathping 信号 不 要 过 于 频繁 。 

(4) 使 用 -p 参数 时 ,pathping 命令 将 单独 发 送 到 各 个 中 间 跃 点 。 因 此 ,向 同一 跃 点 发 送 
pathping 命令 的 时 间 间 隔 为 Period 乘 以 跃 点 数 。 

(5) 使 用 -w 参数 时 ,可 以 同时 发 送 多 个 pathping 命令 。 因 此 ,Timeout 参数 中 指定 的 
时 间 间 隔 不 受 Pathping 之 间 等 待 的 Period 参数 指定 的 时 间 间 隔 的 限制 。 

(6) 只 有 Internet 协议 (TCP/IP) 在 网 络 连接 中 安装 为 网 络 适配器 属性 的 组 件 时 ,该 命 
令 才 可 用 。 


8.3.5 ”测试 网 络 路 由 路 径 


tracert 命令 是 Windows 操作 系统 自 带 的 命令 ,该 命令 通过 递增 “生存 时 间 ”(TTL) 的 
值 将 Internet 控制 消息 协议 (ICMP) 回 应 数据 包 或 ICMPv6 消息 发 送 给 目标 ,可 以 确定 到 达 
目标 主机 的 路 径 。 路 径 将 以 列表 形式 显示 ,其 中 包含 源 主机 与 目标 主机 之 间 路 径 中 路 由 器 
的 近 侧 路 由 器 接口 。 

tracert 命令 通过 跟踪 目标 


tracert 


主机 的 方式 ,确定 到 达 目 标 主机 所 需 的 路 径 。 当 网 络 出 现 故 
障 时 ,使 用 Tracert 命令 可 以 确定 出 现 故障 的 具体 位 置 , 找 出 在 经 过 哪个 路 由 时 出 现 了 问 
题 ,从 而 使 网 络 管理 员 缩小 排查 范围 ,因此 也 是 网 络 故障 排除 过 程 中 常用 的 一 款 小 工具 。 

例如 ,现在 要 查看 到 网 站 www. tsinghua. edu. cn 所 经 过 的 路 由 及 使 用 时 间 ,在 命令 提 
示 符 中 输入 如 下 命令 


tracert www. tsinghua. edu. cn 


按 Enter 键 运行 ,显示 图 8-65 所 示 的 运行 结果 。 默 认 状 态 下 ,tracert 命令 可 以 显示 30 
条 记录 。 


39862181 


66_141.4.1881 


图 8-65 跟踪 路 由 


当 ICMP 数据 包 从 本 地 计算 机 经 过 多 个 网 关 传 送 到 目的 主机 ,tracert 命令 可 以 跟踪 数 
据 包 使 用 的 路 由 (路 径 ) ,但 并 不 能 保证 或 认为 数据 包 总 遵循 这 个 路 径 。tracert 是 一 个 执行 
速度 比较 慢 的 命令 ,每 经 过 一 个 路 由 器 大 约 需要 15 秒 钟 。 

注意 : 在 使 用 tracert 命令 检测 网 络 的 过 程 中 ,很 可 能 会 遇 到 Request timed out 的 提示 
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信息 ,出 现 这 种 情况 ,可 能 是 由 于 当时 网 络 稳 定性 差 ,也 可 能 是 由 于 所 到 达 的 路 由 器 设置 问 
题 。 如 果 连 续 4 次 都 出 现 该 提示 信息 ,说 明 遇 到 的 是 拒绝 Tracert 命令 访问 的 路 由 器 。 


8.3.6 知识 链接 : tracert 命令 介绍 
tracert 命令 的 语法 参数 如 下 。 


tracert [-d] Ch MaximumHops] [-j HostList] [-w Timeout] CR] [CS SreAddr] [-4] [-6] TargetName 


各 参数 说 明 如 下 。 

(1) -d: 防止 tracert 命令 试图 将 中 间 路 由 器 的 IP 地 址 解析 为 计算 机 名 称 。 可 加 速 显 
示 Tracert 的 结果 。 

(2) -h MaximumHops: 指定 搜索 目标 主机 的 路 径 中 存在 的 跃 点 (路 由 器 ) 的 最 大 数 。 
默认 值 为 30。 

(3) -j HostList: 指定 回应 请 求 消息 将 IP 报头 中 的 松散 源 路 由 选项 与 hostlist 中 指定 
的 中 间 目 标 集 在 一 起 使 用 。 注 意 , 只 有 跟踪 IPv4 的 目标 地 址 时 才 使 用 该 参数 。 

(4) -w Timeout: 指定 等 待 Request timed out 消息 或 正常 回应 消息 的 时 间 ( 以 ms 为 单 
位 )。 如 果 在 限定 时 间 内 未 收 到 消息 , 则 显示 一 个 "* "号 。 默 认 的 超时 时 间 为 4000ms(4s)， 
用 户 可 以 根据 自己 的 网 络 连接 状况 设 定 相应 的 时 间 值 。 

(5) -R: 指定 IPv6 路 由 扩展 标 头 应 用 来 将 “ 回 显 请 求 ”消息 发 送 到 本 地 主机 ,使 用 目标 
作为 中 间 目 标 并 测试 反 向 路 由 。 

(6) -4: 指定 tracert 命令 只 能 将 IPv4 用 于 本 跟踪 。 

(7) -6: 指定 tracert 命令 只 能 将 IPv6 用 于 本 跟踪 。 

(8) TargetName: 指定 目标 名 称 ,可 以 是 IP 地 址 或 者 目标 计算 机 的 名 称 。 


习题 


1. 简 述 Fluke MicroScanner: 电缆 测试 仪 的 用 途 。 
2 简 述 ping 命令 的 应 用 。 


实验 : 使 用 Fluke MircoScanner? 


实验 目的 : 

掌握 Fluke MircoScanner 的 使 用 方法 。 

实验 内 容 : 

使 用 Fluke MircoScanner? 测试 当前 网 络 , 实 现 基 本 测试 任务 。 
实验 步骤 : 


(1) 测试 跳 线 的 连通 性 。 
(2) 测试 水 平 布线 系统 。 
(3) 测试 以 太 网 端口 。 
(4) 测试 双 绞 线 长 度 。 
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同人 与 人 之 间 进 行 交流 的 方式 是 使 用 相同 语言 一 样 ,计算 机 之 间 实 现 信 息 通 信也 需要 
相同 的 “语言 , 即 网 络 协议 。 只 有 当 网 络 中 的 两 台 计算 机 使 用 相同 的 协议 时 , 才 可 以 实现 通 
信 。 只 有 正确 地 配置 网 络 协议 , 才 可 以 实现 计算 机 之 间 的 资源 共享 功能 。 


9.1 网 络 协议 和 资源 管理 规划 


网 络 的 基本 功能 ,同时 也 是 最 主要 的 功能 就 是 共享 。 对 于 共享 资源 必须 进行 严格 的 管 
理 , 如 果 共 享 资源 管理 不 善 , 很 有 可 能 会 造成 无 法 估量 的 损失 , 轻 则 普通 文件 丢失 , 重 则 机 密 
文件 落 到 “对 手 ” 手 中 。 


9.1.1 项 目 背景 


因为 在 网 络 中 存在 多 台 网 络 设备 、 服 务 器 和 客户 端 ,这 些 网 络 组 成 部 分 所 使 用 的 网 络 协 
议 必须 相同 ,否则 将 无 法 进行 数据 传输 。 在 网 络 中 合理 地 设置 共享 ,可 以 很 大 程度 上 提高 网 
络 的 使 用 效率 。 通 常情 况 下 ,使 用 这 些 共 享 资源 前 ,需要 为 所 在 的 计算 机 配置 相应 的 IP 地 
址 ,在 当前 网 络 中 因为 存在 多 台 服 务 器 和 客户 端 , 则 需要 合理 地 管理 IP 地 址 。 另 外 ,为 了 访 
问 共 享 资源 ,用 户 还 必须 拥有 相应 的 权限 。 


9.1.2 项 目 需求 


在 网 络 中 ,数据 的 传输 必须 经 过 所 连接 的 交换 机 ,以 及 一 些 所 必需 的 网 络 设备 , 当 网 络 
中 存在 大 量 数据 传输 时 ,很 有 可 能 是 网 络 中 存在 不 明 数 据 传输 ,或 禁止 网 络 使 用 的 P2P 软 
件 正在 运行 ,因此 ,作为 管理 员 需 要 时 刻 清楚 网 络 流量 中 包含 哪些 数据 。 因 为 在 网 络 中 不 能 
存在 两 个 相同 的 IP 地 址 ,所 以 必须 对 IP 地 址 资源 进行 严格 的 管理 。 为 了 节省 存储 资源 , 需 
要 所 有 用 户 使 用 相同 的 文件 (例如 安装 程序 等 )。“ 用 户 ” 是 登录 网 络 的 基础 ,每 个 网 络 用 户 
均 需 拥有 一 个 自己 的 登录 用 户 账户 。 另 外 ,由 于 某 些 部 门 中 包含 多 个 成 员 , 这 些 成 员 的 用 户 
权限 是 相同 的 。 


9.1.3 解决 方案 


针对 于 网 络 协议 和 资源 管理 的 需求 问题 ,可 通过 如 下 方案 来 解决 。 
(1) 在 网 络 中 安装 超级 网 络 嗅 探 器 (Sniffer Pro) ,实时 监控 网 络 中 的 流量 情况 ,并 可 及 
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时 发 现 异常 流量 。 当 发 现 不 明 流 量 时 ,还 可 通过 网 络 协议 检测 工具 (Ethereal) ,对 网 络 中 的 
数据 包 进 行 捕获 并 进行 分 析 。 

(2) 对 于 IP 地 址 资源 ,在 划分 网 络 地 址 时 ,可 使 用 子 网 计算 工具 来 完成 。 在 网 络 正常 
使 用 时 ,为 了 了 解 网 络 中 的 IP 地 址 使 用 情况 , 则 可 通过 IP Address Tracker 和 IP 地址 管理 
工具 (IPMaster) 来 完成 。 

(3) 实现 网 络 资源 共享 的 方法 是 在 网 络 中 部 署 共享 文件 夹 , 将 所 要 共享 的 文件 放置 到 
共享 文件 夹 内 ,并 可 针对 不 同 的 用 户 设置 不 同 的 权限 。 

(4) 对 于 用 户 和 组 的 管理 ,需要 在 "Active Directory 用 户 和 计算 机 ”窗口 中 实现 。 


9.2 ”网络 协议 管理 


网 络 分 析 诊 断 以 网 络 原理 、 网 络 配置 和 网 络 运行 的 知识 为 基础 。 从 故障 现象 出 发 ,以 网 
络 诊断 工具 为 手段 获取 诊断 信息 ,确定 网 络 故障 点 ,查找 问题 的 根源 ,排除 故障 ,恢复 网 络 正 
常 运行 。 网 络 分 析 诊 断 应 该 实现 三 方面 的 目的 : 确定 网 络 的 故障 点 ,恢复 网 络 的 正常 运行 ; 
发 现 网 络 规划 和 配置 中 欠 佳 之 处 ,改善 和 优化 网 络 的 性 能 ; 观察 网 络 的 运行 状况 ,及 时 预测 
网 络 通信 质量 。 


9.2.1 超级 网 络 嗅 探 器 Sniffer Pro 


目前 ,网 络 分 析 软 件 市 场 占有 率 最 高 的 是 Network Associates 公司 开发 的 Sniffer Pro。 
Sniffer( 后 文中 Sniffer Pro 都 统称 为 Sniffer) 可 以 捕获 并 分 析 网 络 数据 、 分 析 网 络 协议 等 ， 
用 于 网 络 故障 与 性 能 管理 ,在 网 络 管理 中 应 用 非常 广泛 。 

1. Sniffer 简介 

Sniffer 主要 用 来 分 析 网 络 的 流量 ,在 众多 流量 中 分 析 所 关心 的 内 容 , 例 如 通过 使 用 
Sniffer 可 以 判断 网 络 中 某 台 计算 机 使 用 网 络 的 具体 情况 ,包括 所 使 用 的 网 络 协议 、. 数 据 流 
量 大 小 .与 哪 台 计算 机 相连 等 信息 。 另 外 , 当 网 络 发 生 故 障 时 ,可 以 用 嗅 探 器 对 问题 做 出 精 
确 的 判断 ,从 而 提高 管理 员 的 工作 效率 。 

Sniffer 的 功能 主要 包括 如 下 几 方 面 。 

(1) 捕获 网 络 流量 进行 详细 分 析 。 

(2) 利用 专家 分 析 系 统 诊断 问题 。 

(3) 实时 监控 网 络 活动 情况 。 

(4) 监控 单个 工作 站 ,会话 或 者 网 络 中 任何 一 部 分 的 详细 的 网 络 利 用 情况 和 错误 统计 。 

(5) 支持 主要 的 LAN ,WAN 和 网 络 技术 (包括 高 速 与 超 高 速 以 太 网 、 令 牌 环 .802. 11b 
无 线 网 .SONET 传递 的 数据 包 、T-1、 帧 延迟 和 ATMD) 。 

(6) 提供 在 位 和 字 节 水 平 过 滤 数据 包 的 能 力 。 

2. Sniffer 安装 与 配置 

Sniffer 安装 位 置 的 选择 是 使 Sniffer 发 挥 作用 的 关键 。 通 常情 况 下 , Sniffer 应 该 安装 
在 内 部 网 络 与 外 部 网 络 通 信 的 中 间 位 置 ,例如 代理 服务 器 上 。 也 可 以 安装 在 局 域 网 内 的 任 
意 一 台 计 算 机 上 ,但 此 时 只 能 对 局 域 网 内 部 的 通信 进行 分 析 。 

(1) Sniffer 的 安装 

如 果 网 络 中 使 用 了 代理 服务 器 .那么 Sniffer 必须 安装 在 代理 服务 器 上 ,这 样 Sniffer 才 
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能 捕获 局 域 网 和 Internet 之 间 传 输 的 数据 。 如 果 使 用 交换 机 或 路 由 器 方式 接 入 Internet， 
可 以 在 网 络 设备 上 配置 端口 镜像 ,并 将 网 络 设备 的 出 口 设置 为 目的 端口 ,然后 将 安装 
Sniffer 的 计算 机 连接 到 该 端口 , 即 可 实现 对 整个 网 络 的 监控 。 


小 知识 : 所 谓 端口 镜像 ,是 指 把 交换 机 一 个 或 多 个 端口 (或 VLAN) 的 数据 镜像 到 一 个 


或 多 个 端口 的 方法 。 简 单 地 说 ,端口 镜像 就 是 把 交换 机 一 个 ( 数 个 ) 端 口 ( 源 端口 ) 的 流量 完 
全 复制 一 份 ,从 另外 一 个 端口 (目的 端口 ) 发 出 去 。 网 络 管理 人 员 在 目的 端口 通过 软件 分 析 
源 端 口 的 流量 ,从 而 找 出 网 络 中 存在 问题 的 原因 。 


通常 情况 下 ,为 了 实现 对 整个 网 络 的 监听 ,应 当 将 网 络 总 出 口 ( 如 连接 至 代理 服务 器 .路 


由 器 的 端口 或 VLAN ) 映射 为 Sniffer 计算 机 所 连接 的 端口 。Cisco 的 端口 镜像 叫做 
Switched Port Analyzer ,简称 SPAN。 端 口 镜 像 仅 适用 于 以 太 网 交换 端口 。 


Cisco 交换 机 的 SPAN 端口 配置 过 程 如 下 。 
Q@ 进入 全 局 配置 模式 。 


Cisco# configure terminal 

@ 为 该 进程 移 除 任何 已 经 存在 的 SPAN 配置 。 

Cisco # no monitor session {session_number | all | local | remote} 
@ 指定 SPAN 进程 和 侦 听 源 端 口 。 


Cisco (config) # monitor session session_number source {interface interface-id | vlan vlan-id}) [,| - 
[both | rx | tx] 


@ 指定 SPAN 进程 与 侦 听 目的 端口 。 

Cisco (config) # monitor session session_number destination {interface interface-id [, | -] 
@ 返回 特权 配置 模式 。 

Cisco (config)# end 

@ 校 验 SPAN 配置 。 


Cisco # show monitor [session session_number] 
Cisco # show running-config 


@ 保存 SPAN 配置 。 
Cisco # copy running-config startup-config 
例如 , 若 欲 将 g1/0/1 端口 的 所 有 收发 流量 全 部 映射 至 g1/0/2 端口 ,配置 过 程 如 下 。 


Cisco (config)# no monitor session 2 

Cisco (config)# monitor session 2 source gigabitethernetl/0/1 rx 

Cisco (config)# monitor session 2 destination interface gigabitethernetl/0/2 
Cisco (config) # end 


在 使 用 Sniffer 捕获 数据 时 ,由 于 网 络 中 传输 的 数据 量 特别 大 ,如 果 安 装 Sniffer 的 计算 


机 内 存 太 小 ,这 些 数 据 会 被 系统 交换 到 磁盘 ,从 而 导致 计算 机 性 能 下 降 。 如 果 没 有 足够 的 物 
理 内 存 , 很 容易 造成 安装 有 Sniffer 的 计算 机 死机 或 崩溃 。 因 此 ,网 络 中 捕获 的 流量 越 多 , 安 
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装 Sniffer 的 系统 就 应 该 运行 得 更 快 、 功 能 更 强 。 因 此 ,建议 安装 Sniffer 的 系统 有 一 个 速度 
尽 可 能 快 的 处 理 器 ,而 且 至 少 应 安装 1GB 以 上 的 物理 内 存 。 

Sniffer 安装 操作 比较 简单 ,根据 安装 向 导 的 提示 操作 即 可 ,这 里 就 不 再 歼 述 。 

(2) 配置 网 络 适配器 

通常 情况 下 ,代理 服务 器 会 安装 多 块 网 卡 ,以 实现 Internet 共享 ,而 Sniffer 默认 只 监控 
一 块 网 卡 上 的 数据 流 。 因 此 ,在 使 用 Sniffer 捕获 网 络 数据 流 前 ,需要 指定 所 监控 的 网 卡 。 
另外 ,使 用 Sniffer 实例 功能 ,可 以 实现 同时 捕获 多 块 网 卡 , 但 多 个 Sniffer 实例 的 Settings 
窗口 不 能 同时 打开 。 

QO 依次 选择 “开始 ”一 “所 有 程序 ”一 Network General -> Sniffer Portable 一 Sniffer 
Portable 命令 ,启动 Sniffer 程序 。 如 果 当 前 计算 机 上 安装 有 多 块 网 卡 , 会 显示 图 9-1 所 示 的 
Settings 对 话 框 , 需 要 选择 要 监视 的 网 卡 。 

@ 为 了 使 Sniffer 能 够 监控 多 个 不 同 的 网 络 , 可 以 设置 多 个 代理 。 在 Settings 对 话 框 
中 单 击 New 按钮 ,显示 图 9-2 所 示 的 New Settings 对 话 框 。 在 Description 文本 框 中 输入 
网 卡 描 述 信息 ,在 Network Adapter 下 拉 列 表 框 中 选择 要 使 用 的 网 卡 。 

@ 单 击 OK 按钮 ,保存 设置 即 可 。 

@ 配置 完成 后 , 单 击 “ 确 定 ” 按 钮 ,显示 图 9-3 所 示 的 Sniffer Portable Field Service 窗 
口 。 依 次 选择 File->Settings 命令 ,选择 不 同 的 网 卡 , 即 可 监控 不 同 的 网 络 。 
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图 9-2 New Settings 对 话 框 图 9-3 Sniffer 主 窗口 


3. Sniffer 的 监控 模式 

Sniffer 的 监控 功能 可 以 查看 当前 网 络 中 的 数据 传输 情况 。Sniffer 具有 7 大 监控 功能 ， 
即 Dashboard( 仪 表 ) Host Table( 主 机 列表 )、 Matrix( 和 矩阵 )、ART(CApplication Response 
Time, 应 用 响应 时 间 )、Protocol Distribution (协议 分 类 )、History Samples (历史 采样 ) 和 
Global Statistics( 全 局 统计 )。 这 些 功 能 可 以 实时 显示 当前 网 络 中 传输 的 数据 ,便于 网 络 管 
理 员 及 时 发 现 故 障 并 解决 。 

(1) Dashboard( 仪 表 ) 

Sniffer 的 仪表 盘 使 用 图 形 化 界面 ,可 以 直观 地 观测 到 网 络 的 利用 情况 。 
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在 Sniffer 窗口 中 ,依次 选择 Monitor-~>Dashboard 命令 ,或 单 击 工具 栏 上 的 仪表 盘 按 
钮 ,显示 图 9-4 所 示 的 仪表 盘 窗 口 ,以 后 每 次 启动 Sniffer 时 都 会 自动 打开 该 仪表 盘 。 这 里 
共有 3 个 仪表 盘 , 分 别 为 Utilization%、Packets/s 和 Errors/s, 分 别 用 来 显示 网 络 利 用 率 、 
传输 的 数据 和 错误 统计 。 其 中 ,表盘 的 红色 区 域 表 示警 戒 值 ,下 方 的 两 个 数字 分 别 表示 当前 
和 最 大 的 利用 率 。 
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图 9-4 ” Sniffer 主 界面 


通过 这 3 个 仪表 盘 , 管 理 员 可 以 很 容易 地 看 到 从 捕获 开始 ,有 多 少数 据 包 经 过 网 络 、 多 
少 帧 被 过 滤 ,以 及 遗失 了 多 少 帧 。 还 可 以 看 到 网 络 的 利用 率 、 数 据 包 数 目 和 广播 数 ,如 果 发 
现 网 络 在 每 天 的 特定 时 间 都 会 收 到 大 量 的 组 播 数 据 包 ,这 说 明 网 络 可 能 出 现 了 问题 , 需 及 时 
分 析 哪 个 应 用 程序 在 发 送 组 播 数据 包 。 

各 个 表盘 的 作用 分 别 如 下 。 

Q@ Utilization%% (利用 率 百 分 比 ) : 使 用 传输 与 端口 能 处 理 的 最 大 带宽 的 比值 来 表示 网 
络 占用 带宽 的 百分比 。 由 于 网 络 数据 流通 常 都 是 突 发 的 ,一 个 几 秒 钟 内 爆发 的 数据 流 和 能 
长 期 保持 活性 数据 流 的 重要 性 是 不 同 的 ,因此 ,表示 网 络 利用 率 的 理想 方法 要 因 网 络 不 同 而 
改变 ,而 且 很 大 程度 上 要 取决 于 网 络 的 拓扑 结构 。 在 以 太 网 端口 ,利用 率 为 40% ,效率 可 能 
已 经 很 高 了 ,但 是 在 全 双 工 可 转换 端口 .80% 的 利用 率 才 是 高 效 的 。 

@ Packets/s( 每 秒 传输 的 数据 包 ): 显示 网 络 中 当前 数据 包 的 传输 速率 ,例如 ,如 果 网 
络 利用 率 很 高 ,而 数据 包 传 输 速率 相对 较 低 , 则 说 明 网 络 上 的 帧 比较 大 ; 如 果 网 络 利用 率 很 
高 ,数据 包 传输 速率 也 很 高 ,说 明 帧 比较 小 。 通 过 查看 规模 分 布 的 统计 结果 ,可 以 更 详细 地 
了 解 帧 的 大 小 。 

@ Errors/s( 每 秒 产生 的 错误 ) : 显示 当前 网 络 中 的 出 错 率 ,但 并 非 所 有 的 错误 都 产生 故 
障 , 例 如 ,以 太 网 中 经 常会 发 生 冲突 ,并 不 一 定 会 对 网 络 造成 影响 ,但 过 多 的 冲突 就 会 带 来 问题 。 

提示 : 每 个 仪表 盘 下 方 都 会 显示 两 个 数值 ,前 一 个 数值 表示 当前 值 ,后 一 个 数值 表示 最 
大 值 。 

如 果 想 查看 详细 的 传输 数据 ,可 单 击 仪表 盘 下 方 Detail( 详 细 ) 按 钮 ,显示 图 9-5 所 示 的 
表格 ,以 数值 形式 显示 网 络 的 使 用 信息 。 
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其 中 ,Network 表格 中 显示 了 当前 网 络 的 使 用 情况 。 


@ Packets: 网 络 中 传输 的 数据 包 总 数 。 


@ Drops: 网 络 中 遗失 的 数据 包 数 量 (在 网 络 活动 高 峰 期 经 常会 遗失 数据 包 ) 。 
@ Broadcasts: 网 络 中 广播 帧 的 数量 。 子 网 或 VLAN 上 所 有 的 组 件 都 必须 处 理 所 有 
的 广播 数据 包 , 过 多 的 广播 会 使 网 络 上 所 有 系统 的 性 能 整体 下 降 。 


@ Multicasts: 网 络 中 组 播 帧 的 数量 。 
Q@ Bytes: 数据 包 的 总 字 节 数 。 

@ Utilization: 当前 网 络 的 利用 率 。 
@ Errors: 网 络 中 存在 的 错误 的 总 数 。 


在 Size Distribution 表格 中 列 出 了 网 络 中 数据 包 ( 包 括 4 字 节 的 CRC) 的 分 布 状态 , 包 
括 64Bytes`65 一 127Bytes、128 一 255Bytes 等 各 种 不 同 字 节 的 数据 包 总 数 。Detail Errors 表 
格 中 列 出 了 错误 出 现 率 , 即 Errors/s 表盘 中 显示 的 错误 的 详细 情况 。 

Sniffer 的 很 多 网 络 分 析 结果 都 可 以 设 定 阔 值 , 若 超出 阔 值 ,报警 记录 就 会 生成 一 条 信 
息 ,并 在 仪表 盘 上 以 红色 来 标记 阔 值 的 警告 值 。 网 络 管理 员 可 根据 警告 信息 ,通过 对 超过 闪 
值 的 次 数 和 超出 阔 值 的 频率 进行 分 析 , 从 而 判断 网 络 的 健康 状况 。 

单 击 仪表 盘 上 的 Set Thresholds( 设 定 阔 值 ) 按钮 ,显示 图 9-6 所 示 的 Dashboard 
Properties 对 话 框 ,根据 网 络 状况 配置 仪表 阔 值 即 可 ,以 保证 仪表 能 准确 地 显示 网 络 情况 。 


(2) Host Table( 主 机 列表 ) 

Sniffer 的 主机 列表 功能 是 以 列表 形式 显示 当前 
网 络 上 计算 机 的 流量 信息 。 

依次 选择 Monitor 一 Host Table 命令 ,显示 
图 9-7 所 示 的 窗口 ,查看 当前 所 捕获 的 网 络 上 的 各 
个 主机 的 流量 信息 。 

Hw Addr( 硬 件 地 址 ): 以 MAC 地 址 形式 显 
示 计 算 机 。 


9-6 ”Dashboard Properties 对 话 框 
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图 9-7 主机 列表 


@ In Pkts( 传 人 数据 包 ): 网 络 上 发 送 到 此 主机 的 数据 包 。 

@ Out Pkts( 传 出 数据 包 ) : 本 地 主机 发 送 到 网 络 上 的 数据 包 。 

@ In Bytes( 传 人 字 节 数 ): 网 络 上 发 送 到 此 主机 的 字 节 数 。 

@ Out Bytes( 传 出 字 节 数 ) : 本 地 主机 发 送 到 网 络 上 的 字 节 数 。 

在 查看 网 络 主机 信息 时 ,默认 以 MAC 地 址 形式 显示 网 络 中 的 计算 机 。 如 果 计算 机 处 
于 局 域 网 中 ,可 以 清楚 地 显示 计算 机 的 MAC 地址。 如 果 计 算 机 处 于 Internet 中 , 则 不 能 获 
得 计算 机 的 MAC 地 址 ,此 时 会 以 IP 地 址 形式 显示 。 选 择 窗 口 下 方 的 IP 选项 卡 ,如 图 9-8 
所 示 , 即 可 显示 计算 机 的 IP 地 址 。 
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图 9-8 以 IP 地 址 形式 显示 


提示 : 通过 主机 列表 功能 ,可 以 查看 某 台 计算 机 所 传输 的 数据 量 。 如 果 发 现 某 台 计 算 
机 在 某 个 时 间 段 内 发 送 或 接收 了 大 量 数据 ,例如 菜 用 户 一 天 内 就 传输 了 数 GB 的 数据 , 则 说 
明 该 用 户 很 可 能 在 使 用 BT、PPLive 等 P2P 软件 。 

(3) Matrix( 和 矩阵 ) 

Matrix 是 Sniffer 中 最 常用 的 功能 之 一 :以 矩阵 方式 列 出 当前 网 络 中 的 连接 情况 。 管 
理 员 通 过 它 清楚 地 掌握 某 计算 机 正在 与 哪些 地 址 进行 连接 ,并 可 查看 因 里 虫 .BT 软件 等 造 
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成 的 网 络 异常 情况 。 

在 Sniffer 主 窗口 中 ,依次 选择 Monitor->Matrix 命令 ,显示 图 9-9 所 示 的 窗口 ,显示 了 
当前 所 捕获 的 网 络 中 各 计算 机 的 连接 情况 。 选 择 窗口 下 方 的 IP 选项 卡 , 可 以 以 IP 地 址 方 
式 显 示 各 主机 。 
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图 9-9 和 矩阵 窗口 


在 窗口 空白 处 右 击 ,从 快捷 菜单 中 选择 Zoom 命令 ,在 子 菜单 中 选择 100%、200%、 
300% 等 命令 ,可 以 放大 显示 比例 ,以 解决 因为 连接 过 多 或 连接 太 密集 而 无 法 查看 具体 连接 
情况 的 问题 。 

如 果 要 详细 查看 某 台 主 机 的 连接 情况 ,可 以 在 该 窗口 中 只 显示 该 主机 的 连接 。 右 击 要 
查看 的 主机 IP 地 址 ,在 快捷 菜单 中 选择 Show Select Nodes 命令 ,显示 如 图 9-10 所 示 ,此 时 
可 以 清楚 地 看 到 该 计算 机 正在 与 哪些 地 址 连接 。 如 果 将 鼠标 指针 放 在 连 线 上 ,还 会 显示 出 
该 主机 所 传输 的 数据 大 小 。 右 击 窗口 并 选择 快捷 菜单 中 的 Show All 命令 , 即 可 返回 查看 所 
有 主机 的 连接 情况 。 
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图 9-10 显示 单个 主机 的 连接 情况 


小 知识 : 通过 Matrix 功能 ,管理 员 可 以 发 现 网 络 中 使 用 BT 等 P2P 软件 或 中 了 蠕虫 病 
毒 的 用 户 。 如 果 某 个 用 户 的 并 发 连接 数 特别 多 ,并 且 不 断 地 向 其 他 计算 机 发 送 数据 ,这 就 说 
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明 该 计算 机 很 可 能 中 了 蠕虫 等 病毒 。 此 时 ,网 络 管理 员 应 及 时 封 掉 该 计算 机 所 连接 的 交换 
机 端口 ,并 对 该 计算 机 查 杀 病毒 。 

(4) Application Response Time( 应 用 响应 时 间 ) 

Sniffer 的 Application Response Time 功能 主要 用 来 显示 网 络 中 Web 网 站 的 连接 情 
况 ,可 以 看 到 局 域 网 中 有 哪些 计算 机 正在 上 网 ,浏览 的 是 哪些 网 站 等 。 

在 Sniffer 主 窗口 中 ,依次 选择 Monitor->Application Response Time 命令 ,显示 图 9-11 所 
示 的 Application Response Time 对 话 框 。 其 列表 框 中 显示 了 局 域 网 内 的 通信 及 数据 传输 
大 小 ,并 且 显 示 了 本 地 计算 机 与 Web 网 站 的 IP 地 址 。 
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图 9-11 应 用 程序 响应 时 间 


通过 单 击 左 侧 工 具 栏 中 的 图 标 ,可 以 以 柱 形 图 方式 显示 网 络 中 计算 机 的 数据 传输 情况 。 
不 同 顺序 的 图 形 柱 代表 右 侧 列表 中 的 相应 的 连接 ,并 以 柱 形 的 长 短 显 示 传 输 量 的 大 小 ,如 
图 9-12 所 示 。 
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图 9-12 服务 器 -客户 响应 时 间 柱 形 图 


(5) History Samples( 历 史 采 样 ) 
Sniffer 的 历史 采样 功能 记录 了 捕获 过 程 中 各 个 时 间 段 的 网 络 利用 情况 。 在 Sniffer 主 
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窗口 中 ,依次 选择 Monitor 一 History Samples 命令 ,显示 图 9-13 所 示 的 窗口 ,包括 了 多 种 
记录 。 
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图 9-13 History Samples 窗口 


要 查看 一 个 网 络 中 每 秒 发 送 的 数据 包 数 ,双击 Packets/s 图 标 ,显示 图 9-14 所 示 
Packets/s 窗口 ,Sniffer 便 开始 记录 每 秒 所 发 送 的 数据 包 数 量 ,并 且 每 隔 15 秒 钟 便 记录 一 
次 ,以 柱 形 方式 显示 。 
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图 9-14 Packets/s 窗口 


经 过 一 段 时 间 的 记录 后 , 便 可 以 将 记录 结果 保存 起 来 ,便于 管理 员 分 析 各 个 时 间 段 的 数 
据 流 量 。 依 次 选择 File->Save 命令 保存 即 可 。 

(6) Protocol Distribution( 协 议 分 类 ) 

在 Sniffer 主 窗口 中 ,依次 选择 Monitor->Protocol Distribution 命令 ,显示 图 9-15 所 示 
的 窗口 ,以 不 同 颜色 的 柱 形 显示 网 络 中 不 同 协议 的 使 用 情况 。 

通过 单 击 左 侧 工 具 栏 上 饼 形 、 表 格 形 图 标 , 还 可 以 分 别 以 饼 形 、 表 格 等 方式 显示 。 图 9-16 
所 示 为 以 表格 方式 显示 。 

(7) Global Statistics( 全 局 统计 ) 

Sniffer 的 Global Statistics 功能 用 来 显示 不 同 大 小 数据 包 的 使 用 情况 。 

在 Sniffer 主 窗 口中 ,依次 选择 Monitor->Global Statistics 命令 ,显示 图 9-17 所 示 的 窗 
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图 9-15 协议 使 用 情况 


口 ,默认 以 柱 形 方式 显示 不 同 大 小 数据 包 的 使 用 情况 。 也 可 以 单 击 左 侧 工具 栏 中 的 柱 形 图 
标 , 以 柱 形 方式 显示 。 


图 9-16 以 表格 方式 显示 图 9-17 Global Statistics 对 话 框 


4. 创建 过 滤器 

默认 情况 下 ,Sniffer 会 监控 网 络 中 所 有 传输 的 数据 包 , 但 在 分 析 网 络 协议 .查找 网 络 故 
障 时 ,有 许多 数据 包 并 不 是 管理 员 所 关心 的 。 通 过 定义 过 滤器 ,管理 员 可 以 设 定 捕获 条 件 ， 
Sniffer 只 接收 与 问题 或 事件 相关 的 数据 ,从 而 便于 进行 数据 分 析 。Sniffer 提供 了 捕获 数据 
包 前 的 过 滤 规 则 的 定义 功能 ,过 滤 规 则 包括 2.3 层 地 址 的 定义 和 几 百 种 协议 的 定义 。 

(1) 过 滤 由 地址 

这 里 创建 一 个 过 滤器 ,使 Sniffer 只 捕获 IP 地 址 段 为 192. 168. 1. 10 一 192. 168. 1. 100 
范围 内 传输 的 数据 。 

OO 在 Sniffer 主 窗口 中 ,设置 过 滤 方 式 , 依 次 选择 Capture 一 Define Filer 命令 ,显示 
图 9-18 所 示 的 Define Filter - Capture 对 话 框 。 在 Settings For 列表 框 中 显示 过 滤器 名 ， 
默认 只 有 default 过 滤器 ,该 过 滤器 对 所 有 经 过 网 卡 的 数据 全 部 捕获 。 

@ 单 击 Profiles 按钮 ,显示 图 9-19 所 示 的 Capture Profiles 对 话 框 。 
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图 9-18 Define Filter - Capture 对 话 框 图 9-19 ”Capture Profiles 对 话 框 


@ 单 击 New 按钮 ,显示 图 9-20 所 示 的 New Capture Profile 对 话 框 ,在 New Profile 
Name 文本 框 中 输入 新 过 滤器 的 名 称 , 如 10-100。 

@ 单 击 OK 按钮 返回 Capture Profiles 对 话 框 ,一 个 新 的 过 滤器 创建 完成 ,并 添加 到 
Profiles 列表 中 , 单 击 Done 按钮 返回 Define Filter - Capture 对 话 框 ,新 过 滤器 将 显示 在 
Settings For 列表 中 。 

G@) 在 Settings For 列表 框 中 ,选择 过 滤器 10-100 ,选择 Address 选项 卡 ,在 Station 列表 
中 用 来 设 定 要 监视 的 IP 地 址 范围。 分 别 在 Station 1 和 Station 2 中 输入 IP 地 址 
192. 168. 1. 10 和 192. 168. 1. 100 ,如 图 9-21 所 示 。 
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图 9-20 ”New Capture Profile 对 话 框 图 9-21 Address 选项 卡 


@ 单 击 “确定 ”按钮 ,过 滤器 创建 完成 。 

在 网 络 管理 过 程 中 ,应 设 定 多 个 过 滤器 ,根据 不 同 的 监控 用 途 进行 选择 。 在 Sniffer 窗 
口中 ,依次 选择 Capture~>Select Filter 命令 ,显示 Select Filter 对 话 框 ,在 左 侧 列表 中 即 可 
选择 要 使 用 的 过 滤器 ,并 可 看 到 过 滤器 设 定 的 条 件 , 如 图 9-22 所 示 。 单 击 “ 确 定 ” 按 钮 ,应 用 
所 选择 的 过 滤器 ,Sniffer 会 根据 过 滤器 所 设置 的 条 件 来 捕获 网 络 中 特定 的 数据 。 

(2) 过 滤 端 口 

Sniffer 4.8/4. 9 中 增加 了 端口 过 滤 功 能 ,可 以 让 Sniffer 只 捕获 特定 端口 内 传输 的 数 
据 , 可 以 是 固定 的 一 个 或 几 个 端口 .也 可 以 是 一 个 端口 范围 。 这 里 创建 一 个 过 滤器 ,只 捕获 
80 和 445 端口 所 传输 的 数据 ,来 监控 网 络 中 访问 Internet 网 页 和 网 络 共享 的 数据 。 

@ 首先 ,按照 上 述 操作 先 创建 一 个 过 滤器 ,如 80-445。 在 Define Filter - Capture 对 话 
框 中 ,选择 Port 选项 卡 ,在 Port 1 的 1 和 2 文本 框 中 分 别 输入 80、445,Port 2 中 为 Any 即 
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可 ,如 图 9-23 所 示 。 
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图 9-22 ”Select Filter 对 话 框 图 9-23 Port 选项 卡 


@ 单 击 “ 确 定 ” 按 钮 ,只 捕获 80 和 445 端口 数据 的 过 滤器 创建 成 功 。 在 选择 使 用 该 过 
滤器 监控 网 络 时 ,Sniffer 就 会 只 捕获 网 络 中 通过 端口 80 和 445 的 数据 ,从 而 了 解 网 络 资源 
的 占用 情况 。 

(3) 过 滤 网 络 协议 

虽然 Sniffer 可 以 通过 IP 地 址 .端口 等 形式 捕获 数据 ,但 如 果 客 户 端 更 改 了 IP 地 址 ,或 
一 些 软件 使 用 随机 端口 ,如 BT、PPLive 等 软件 ,每 次 都 使 用 不 同 的 端口 ,那么 Sniffer 将 很 
难 捕获 到 相应 的 数据 。 此 时 ,可 以 根据 网 络 协议 进行 捕获 ,Sniffer 支持 网 络 中 大 部 分 的 网 
络 协议 ,无 论 客户 端 怎 样 更 改 , 软 件 所 使 用 的 协议 是 不 会 变 的 ,通过 监控 协议 ,可 以 使 各 种 软 
件 无 所 通 形 。 

这 里 创建 一 个 过 滤器 ,只 捕获 网 络 中 使 用 FTP 协议 传输 的 数据 ,来 查看 有 多 少 人 在 通 
过 FTP 下 载 文件 。 

Q@ 创建 一 个 新 过 滤器 ,例如 FTP。 

@ 选择 FTP 过 滤器 ,选择 Advanced 选项 卡 , 依 次 展开 Available 一 Protocols 一 
IP>TCP 目录 ,选中 FTP 复 选 框 ,使 该 过 滤器 只 捕获 使 用 FTP 协议 传输 的 数据 。 

@ 单 击 * 确 定 "按钮 保存 , 即 可 使 Sniffer 使 用 该 过 滤器 只 捕获 使 用 FTP 协议 传输 的 
数据 。 

(4) 设置 缓冲 器 

缓冲 器 用 来 临时 保存 Sniffer 捕获 的 数据 , 它 占 用 的 是 计算 机 的 内 存 。 当 缓冲 器 已 满 
后 ,Sniffer 就 会 自动 停止 捕获 ,但 缓冲 器 中 的 内 容 不 会 自动 保存 , 当 重 新 捕获 或 关闭 Sniffer 
时 ,缓冲 器 会 自动 清空 。Sniffer 4. 9 的 缓冲 器 大 小 默认 为 64MB, 比 以 前 版 本 大 了 许多 。 网 
络 管理 员 可 以 创建 一 个 过 滤器 , 自 定义 缓冲 器 的 大 小 ,并 可 设置 将 缓冲 器 中 的 数据 保存 到 文 
件 中 ,以 备 日 后 进行 分 析 。 

这 里 创建 一 个 捕获 网 络 中 使 用 HTTP 协议 数据 的 过 滤器 ,设置 缓冲 区 大 小 为 40MB， 
缓冲 器 中 的 数据 保存 到 玉 :\sniffer 文件 夹 下 。 

Oa 创建 一 个 过 滤器 ,如 new buffer. 选 择 Advanced 选项 卡 , 依 次 选择 IP 一 TCP 一 
HTTP 选项 。 

@ 选择 图 9-24 所 示 的 Buffer 选项 卡 , 在 Buffer size 下 拉 列 表 框 中 选择 40MB 选项 ,在 
Capture buffer 选项 区 域 中 ,选中 Save to file 复 选 框 ,在 Director 文本 框 中 输入 地 址 E:\ 
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sniffer\ ,或 单 击 “ 浏 览 ” 按 钮 选择 保存 目录 即 可 ,在 Filename 文本 框 中 设置 保存 的 文件 名 。 

@ 单 击 “ 确 定 ” 按 钮 ,新 过 滤器 创建 完成 。 当 Sniffer 使 用 该 过 滤器 捕获 时 , 即 可 将 捕获 
的 数据 保存 到 文件 中 。 

(5) 过 滤器 的 使 用 

在 Sniffer 中 ,新 创建 的 过 滤器 会 被 设置 为 默认 过 滤器 , 当 单 击 Start 按钮 时 就 会 自动 使 
用 新 过 滤器 捕获 数据 。 如 果 要 使 用 其 他 过 滤器 , 则 需要 重新 选择 。 

Oz 依次 选择 Capture->Select Filter 命令 ,显示 图 9-25 所 示 的 Select Filter 对 话 框 ,在 
左 侧 的 列表 框 中 显示 了 所 有 的 过 滤器 。 其 中 ,Capture 列表 中 显示 的 是 用 户 自 定义 的 过 滤 
器 ,而 PreDefined 列表 中 则 是 Sniffer 内 置 的 过 滤器 。 当 选择 一 个 过 滤器 后 ,在 右 侧 窗 格 中 
会 显示 该 过 滤器 定义 的 详细 信息 。 


ummuy| Maress | port | Date Pattorn | hvweet ffor | 
Er shee Nem batter is 


FW see te fale 
| 
Wee Few NN ee 


7 sse amos 三 me Eile am 


Stat Coptae | 到 定 | 取 滑 | Profiles 


图 9-24 ”Buffer 选项 卡 图 9-25 ”Select Filter 对 话 框 


@ 单 击 “ 确 定 ” 按 钮 即 可 应 用 。 

@ 单 击 Start 按钮 , 即 可 根据 所 选择 的 过 滤器 中 定义 的 条 件 捕获 网 络 中 的 数据 。 

另外 ,Sniffer 中 所 有 的 过 滤器 都 会 显示 在 工具 栏 上 的 下 拉 列 表 框 中 ,在 该 下 拉 列 表 框 
中 单 击 要 使 用 的 过 滤器 ,然后 单 击 Start 按钮 , 即 可 根据 选择 的 过 滤器 捕获 数据 。 

S. Sniffer 的 使 用 

通常 情况 下 ,Sniffer 根据 所 设置 的 过 滤器 捕获 数据 ,管理 员 再 对 这 些 数据 进行 分 析 ,并 
从 中 发 现 网 络 中 所 存在 的 问题 。 如 果 捕 获 到 的 数据 比较 重要 ,还 可 以 将 这 些 数据 进行 保存 ， 
从 而 可 以 在 日 后 进行 详细 的 分 析 。 

(1) 捕获 数据 

通过 Sniffer 进行 网 络 和 协议 分 析 , 需 要 先 捕 获 网 络 中 的 数据 。 默认 状态 下 ,由 于 
Sniffer 没有 进行 过 滤 设 置 ,会 捕获 网 络 中 所 有 的 数据 。 

@ 单 击 工具 栏 上 的 按钮 ,或 依次 选择 Capture 一 Start 命令 ,显示 Expert 窗口 ， 
Sniffer 开始 捕获 网 络 中 的 数据 .并 显示 所 捕获 到 的 数据 的 概要 信息 ,如 图 9-26 所 示 。 

@ 如 果 要 查看 当前 捕获 的 各 种 数据 , 单 击 对 话 框 左 侧 的 Service、Connection 等 选项 ， 
在 右 侧 即 可 显示 相应 数据 的 概要 信息 。 选 择 窗口 左 侧 的 Objects 选项 卡 ,可 显示 出 当前 所 
监视 对 象 的 详细 信息 ,如 图 9-27 所 示 。 

@ 当 Sniffer 捕 获 了 一 定 的 数据 ,就 可 以 停止 捕获 并 进行 分 析 。 单 击 工具 栏 上 的 转 按 
钮 ,或 依次 选择 Capture-~Stop 命令 , 即 可 停止 捕获 。 此 时 ,管理 员 可 以 查看 并 分 析 所 捕获 
的 数据 ,从 而 了 解 网 络 的 使 用 状况 。 
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图 9-27 Objects 选项 卡 


(2) 查看 分 析 捕 获 的 数据 

依次 选择 Capture>Display 命令 , 即 可 查看 所 有 捕获 的 内 容 了。 选择 该 窗口 下 方 的 
Decode( 解 码 ) 选 项 卡 ,显示 图 9-28 所 示 的 窗口 ,该 窗口 共 分 为 3 个 部 分 ,由 上 到 下 依次 为 : 
总 结 .详细 资料 和 Hex 窗 格 的 内 容 , 可 以 查看 所 捕获 的 每 个 帧 的 详细 信息 。 

提示 : Sniffer 所 捕获 的 数据 保存 在 缓冲 区 中 。Sniffer 4. 9 的 缓冲 区 大 小 默认 为 
64MB, 而 Sniffer 4.7 的 缓冲 区 默认 只 有 8MB, 当 缓冲 区 满 了 以 后 就 会 自动 停止 捕获 。 

所 捕获 的 数据 的 各 部 分 的 含义 具体 如 下 。 

DLC。 在 DLC 区 域 中 显示 了 捕获 的 帧 的 来 源 信息 ,包括 Source Addess( 源 地 址 )、 
Dest Address( 目 标 地 址 ) 、 帧 大 小 (以 字 节 计 ) 以 及 Ethertype( 以 太 类 型 ) 。 在 这 里 ,以 太 类 
型 值 为 0800, 表 示 是 IPv4 协议 。 对 于 IPv4 协议 , 它 的 标识 符 用 二 进 制 表示 是 2048, 十 六 进 
制 表示 就 是 0800, 十 进 制 表示 是 513, 而 以 八进制 表示 是 1001。 其 中 ,Source Addess 或 
Dest Address 中 会 显示 网 卡 的 MAC 地 址 。 

@ IP。 如 果 捕 获 的 是 HTTP 协议 , 则 IP 区 域 中 显示 了 IP 文件 头 的 详细 内 容 , 如 
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图 9-28 捕获 的 数据 信息 


图 9-29 所 示 , 各 内 容 含义 如 下 。 
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9-29 IP 文件 头 信息 


。 Version( 版 本 ): 版 本 序号 为 4. 代 表 IPv4。 

。 Header length: Internet 文件 头 长 度 .为 20 个 字 节 。 

。 Type of service( 服 务 类 型 值 ): 该 值 为 00, 会 看 到 Tos 下 面 一 直到 总 长 的 部 分 都 是 
0。 这 里 可 以 提供 服务 质量 (QoS) 信 息 。 每 个 二 进 制 数位 的 意义 都 不 同 ,这 取决 于 
最 初 的 设 定 , 例 如 ,正常 延迟 设 定 为 0, 说 明 没 有 设 定 为 低 延迟 ,如 果 是 低 延 迟 , 设 定 


值 应 为 1。 
。 Total length (总 长 度 ): 显示 该 数据 的 总 长 度 ,为 Internet 文件 头 和 数据 的 长 度 
之 和 。 


。 Identification: 该 数值 是 文件 头 的 标识 符 部 分 , 当 数 据 报 被 划分 成 几 段 传送 时 ,接收 
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数据 的 主机 可 以 用 这 个 数值 来 重新 组 装 数据 。 
Flag( 标 记 ) : 数据 报 的 “标记 ”功能 ,例如 ,数据 报 分 段 用 0 标记 ,未 分 段 用 1 标记 。 
Fragment offset( 分 段 差距 ): 分 段 差距 为 0 个 字 节 。 可 以 设 定 0 代表 最 后 一 段 ,或 
者 设 定 1 代表 更 多 区 段 。 这 里 这 个 值 为 0。 分 段 差距 用 来 说 明 某 个 区 段 属于 数据 包 
的 哪个 部 分 。 
Time to live( 保 存 时 间 ): 表示 TTL 值 的 大 小 ,说 明 一 个 数据 包 可 以 保存 多 久 。 
Protocol( 协 议 ) : 显示 协议 值 ,在 Sniffer 中 代表 TCP 协议 。 文 件 头 的 协议 部 分 只 说 
明 要 使 用 的 下 一 个 上 层 协议 是 什么 ,在 这 里 为 TCP。 
Header checksum( 校 验 和 ): 这 里 显示 了 校 验 和 (只 在 这 个 文件 头 中 使 用 ) 的 值 , 并 
且 已 经 做 了 标记 ,表明 这 个 数值 是 正确 的 。 
Source address( 来 源 地 址 ) : 显示 了 数据 的 来 源 地 址 。 

。 Destination address( 目 的 地 址 ): 显示 了 数据 访问 的 目的 地 址 。 

@ UDP。 了 文件 头 ( 如 图 9-30 所 示 ) 一 般 为 TCP 或 UDP 文件 头 , 这 里 为 UDP 文件 
头 ,包括 下 列 信息 。 


1 -100 [S8251.63 57] UDP D<8001 2 
132 188 1 100] (83.21.83.87] Due D800 2 IE 
.381.63.57] | 198,169.1:190) we: D-4002 S-8000 fa-4s 


图 9-30 UDP 文件 头 信息 


Source port( 源 端口 ) : 显示 了 所 使 用 的 UDP 协议 的 源 端 口 。 

Destiantion port( 目 的 端口 ); 显示 了 UDP 协议 的 目的 端口 。 

Length( 长 度 ) : 表示 IP 文件 头 的 长 度 。 

Checksum( 校 验 和 ): 显示 了 UDP 协议 的 校 验 和 。 

。 Byte(s)of date: 表示 有 和 多少 字 节 的 数据 。 

田 ARP。ARP 构架 (如 图 9-31 所 示 ) 中 具有 如 下 的 一 些 信息 。 

。 Hardware type( 硬 件 类 型 ) : 这 是 一 个 16 比特 字段 ,用 来 定义 运行 ARP 的 网 络 的 类 
型 。 每 一 个 局 域 网 基于 其 类 型 被 指派 给 一 个 整数 ,例如 ,以 太 网 是 类 型 1。ARP 可 
使 用 在 任何 网 络 上 。 

。 Protocol type( 协 议 类 型 ) : 这 是 一 个 16 比特 字段 ,用 来 定义 协议 的 类 型 ,例如 ,对 

IPv4 协议 ,这 个 字段 的 值 是 0800。ARP 可 用 于 任何 高 层 协议 。 
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图 9-31 ARP 文 件 头 信息 


Length of hardware address( 硬 件 长 度 ) : 这 是 一 个 8 比特 字段 ,用 来 定义 以 字 节 为 
单位 的 物理 地 址 的 长 度 ,例如 ,对 以 太 网 这 个 值 是 6。 
Length of Protocol address( 协 议长 度 ) : 这 是 一 个 8 比特 字段 ,用 来 定义 以 字 节 为 
单位 的 逻辑 地 址 的 长 度 , 例 如 ,对 IPv4 协议 这 个 值 是 4。 
Opcode( 操 作 ) : 这 是 一 个 16 比特 的 字段 ,用 来 定义 分 组 的 类 型 。 已 定义 了 两 种 类 
型 : ARP 请 求 第 1 步 ,ARP 回答 第 2 步 。 
Sender’s hardware address( 发 送 站 硬件 地 址 ): 这 是 一 个 可 变 长 度 字 段 , 用 来 定义 
发 送 站 的 物理 地 址 的 长 度 , 例 如 ,对 以 太 网 这 个 字段 是 6 字 节 长 。 
Sender's protocol address( 发 送 站 协议 地 址 ): 这 是 一 个 可 变 长 度 字段 ,用 来 定义 发 
送 站 的 逻辑 (例如 IP) 地 址 的 长 度 , 例 如 ,对 于 IP 协议 ,这 个 字段 是 4 字 节 长 。 
Target hardware address( 目 标 硬件 地 址 ): 这 是 一 个 可 变 长 度 字段 ,用 来 定义 目标 
的 物理 地 址 的 长 度 ,例如 ,对 以 太 网 这 个 字段 是 6 字 节 长 。 对 于 ARP 请 求 报 文 ,这 
个 字段 是 全 0, 因 为 发 送 站 不 知道 目标 的 物理 地 址 。 
Target protocol address( 目 标 协 议 地 址 ) : 这 是 一 个 可 变 长 度 字 段 , 用 来 定义 目标 的 
逻辑 地 址 (例如 ,IP 地 址 ?的 长 度 , 例 如 ,对 于 IPv4 协议 ,这 个 字段 是 4 字 节 长 。 

@ ICMP。ICMP 协议 即 Internet 控制 信息 协议 ,是 TCP/IP 协议 栈 的 一 部 分 。ICMP 
是 一 种 非常 强大 的 工具 ,允许 报告 20 种 以 上 不 同 的 网 络 状况 。 首 先 需 要 创建 一 个 新 的 
ICMP 过 滤器 , 即 在 Advanced 选项 卡 中 选中 IP 列表 中 的 ICMP 协议 ,捕获 足够 数据 后 便 可 
以 进行 分 析 。 

由 于 ICMP 信息 封装 在 IP 数据 包 中 ,而 IP 数据 包 又 会 封装 在 以 太 网 帧 中 ,如 果 要 彻底 
分 析 一 个 ICMP 数据 包 , 就 必须 查看 这 个 数据 包 的 所 有 部 分 , 即 理解 3 种 不 同 的 文件 头 : 
DLC 文 件 头 、IP 文件 头 和 ICMP 文件 头 , 如 图 9-32 所 示 。 其 中 ,ICMP 文件 头 包括 如 下 
内 容 。 

。 Type: ICMP Echo 有 两 种 类 型 ,类 型 8 是 请 求 ,而 类 型 0 是 响应 。 

。 Code: 该 代码 现在 在 ICMP Echo 信息 中 并 不 常用 ,经 常设 定 为 0。 
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图 9-32 ICMP 文件 头 


。 Checksum: IP 文件 头 校 验 和 不 能 用 来 证 明 高 层 协议 数据 的 完整 性 ,所 以 ICMP 信 
息 用 自己 的 校 验 和 来 确保 数据 在 传输 过 程 中 没有 被 中 断 。 

。 Identifier 与 Sequence number: 这 些 数字 由 发 送 方式 生成 ,用 来 将 响应 与 请 求 匹配 
在 一 起 。 

@@ Hex。Decode 选项 卡 最 下 方 为 "Hex 窗 格 ”, 这 里 显示 的 内 容 最 直观 ,但 也 难以 理解 。 
“Hex 窗 格 ” 中 的 信息 是 十 六 进 制 代 码 的 信息 集合 。 数据 的 传输 是 按照 二 进 制 系统 为 基本 
标准 进行 的 , 二进制 数据 还 可 以 转换 为 十 六 进 制 、 十 进 制 和 八进制 的 格式 ,在 "Hex 窗 格 " 中 
查看 数据 时 ,看 到 的 就 是 处 于 传输 状态 的 原始 ACSII 格式 的 数据 。 

@ Matrix。Sniffer 的 矩阵 功能 可 以 直观 地 显示 网 络 中 各 计算 机 之 间 的 连接 。 选 择 窗 
口 下 方 的 Matrix 选项 卡 ,显示 如 图 9-33 所 示 ,以 Matrix 方式 显示 了 网 络 中 各 计算 机 之 间 
的 连接 情况 ,默认 以 MAC 地 址 代表 计算 机 。 这 里 的 图 形 界面 类 似 于 Sniffer 监视 功能 中 的 
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图 9-33 ”Matrix 图表 
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Matrix 界面 。 所 不 同 的 是 ,此 处 显示 的 是 固定 数据 , 即 曾经 捕获 到 的 数据 ,而 Monitor 中 的 
Matrix 是 不 断 变化 的 ,并 会 随时 添加 即时 捕获 的 数据 。 

为 便于 查看 ,可 以 以 IP 地 址 形式 显示 计算 机 。 在 MAC 下 拉 列 表 框 中 选择 全 选项 , 即 可 
显示 各 计算 机 的 全 地 址 ,并 使 用 不 同 颜 色 的 连 线 来 显示 各 连接 所 使 用 的 不 同 协议 ,如 图 9-34 
所 示 。 
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图 9-34 显示 IP 协议 连接 


@ Host Table。 主 机 列表 是 一 个 很 有 用 的 功能 ,如 图 9-35 所 示 。 该 功能 可 以 清楚 地 显 
示 出 在 该 捕获 过 程 中 各 计算 机 所 传输 的 数据 ,并 且 可 以 根据 所 传输 数据 多 少 按 顺 序 排列 。 
与 Matrix 结合 使 用 ,网 络 管理 员 可 以 轻松 分 析出 各 计算 机 的 使 用 情况 。 
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图 9-35 Host Table 


例如 , 当 管理 员 发 现 上 网 速度 特别 慢 , 而 服务 器 又 运行 正常 , 即 可 通过 Sniffer 的 Host 
Table 和 Matrix 功能 进行 分 析 。 如 果 在 Host Table 中 发 现 有 计算 机 在 某 段 时 间 内 传输 的 
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数据 特别 多 ,并 且 在 Matrix 中 显示 该 计算 机 有 大 量 的 并 发 连接 ,由 此 可 以 得 出 结论 : 该 计 
算 机 很 可 能 在 使 用 BT 等 P2P 软件 下 载 文件 。 为 避免 该 用 户 过 多 占用 带宽 ,管理 员 即 可 中 
止 该 用 户 的 下 载 。 

(3) 保存 数据 

使 用 Sniffer 捕获 数据 以 后 ,为 便于 日 后 再 次 进行 分 析 或 比较 ,应 该 先 将 其 保存 ,以 后 再 
重新 打开 并 分 析 。 

当 捕 获 结束 后 ,依次 选择 File 一 Save 命令 , 即 可 将 当前 已 捕获 的 数据 保存 到 硬盘 上 。 
当日 后 再 想 重 新 分 析 时 ,可 选择 File 菜单 中 的 Open 命令 ,选择 事先 保存 的 文件 即 可 。 


9.2.2 网 络 协议 检测 工具 一 一 Ethereal 


Ethereal 是 一 款 免费 的 网 络 协议 检测 程序 ,同时 支持 UNIX 和 Windows 操作 系统 。 使 
用 该 工具 可 以 抓 取 和 运行 的 网 站 的 相关 资讯 ,包括 每 个 数据 包 的 流向 及 其 内 容 , 并 可 通过 操作 
系统 语系 方便 地 查看 和 监控 TCP 会 话 动态 等 。 但 是 ,Ethereal 仅仅 能 提供 协议 分 析 ,不 具 
备 Sniffer 的 一 些 功能 ,比如 监控 应 用 程序 .高 级 分 析 和 捕获 变形 帧 。 

1，Ethereal 安装 

Ethereal 可 以 运行 于 Windows 9x/ NT/2000/XP 等 操作 系统 。 用 户 可 以 从 它 的 官方 网 
站 (http://www. ethereal. com/) 下 载 ,也 可 以 从 国内 一 些 下载 站 点 下 载 。 在 安装 Ethereal 
之 前 ,需要 先 安装 WinPcap 驱动 程序 , WinPcap 也 可 以 从 Ethereal 的 官方 网 站 下 载 。 
Ethereal 安装 比较 简单 ,保持 默认 设置 即 可 ,这 里 不 再 袭 述 。 

2. 捕获 并 分 析 数据 包 

Ethereal 具有 数据 捕获 功能 ,可 以 捕获 网 络 中 各 个 计算 机 传输 的 数据 ,通过 查看 并 分 析 
所 捕获 的 数据 , 即 可 了 解 网 络 的 运行 状况 。 

(1) 运行 Ethereal 程序 ,显示 图 9-36 所 示 的 窗口 ,通过 该 窗口 即 可 捕获 网 络 中 的 数据 
并 进行 分 析 。 


| RR Re be 


Ele Edt Vew Go Capture Anayze Siatistcs Help 
发 基 色 旬 全 巴 园 x 凶 品 国外 名 年 圣 国 国 QQ 


EMer > Eoression Glear Apph 


CE [gee 


图 9-36 ”Ethereal 窗口 
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(2) 依次 选择 Capture 一 Interfaces 命令 ,显示 图 9-37 所 示 的 Ethereal: Capture 
Interfaces 对 话 框 , 在 该 对 话 框 中 显示 了 本 地 计算 机 上 所 安装 的 网 卡 、 网 卡 的 IP 地 址 、 传 输 


的 包 数 量 (Packets) 以 及 包 的 传输 速率 (Packets/s) 等 信息 。 
(3) 如 果 要 捕获 数据 ,必须 先 选择 一 个 用 来 捕获 数据 的 网 卡 , 单 击 欲 捕获 数据 的 网 卡 右 


侧 的 Capture 按钮 ,Ethereal 便 开始 利用 此 网 卡 来 监控 本 地 网 络 ,显示 图 9-38 所 示 的 对 话 
框 ,其 中 显示 了 各 种 协议 所 占 的 百分比 。 


Vare Accelerated AMD PCNet Adaplar 1921581 190 31 


图 9-37 Ethereal: Capture Interfaces 对 话 框 图 9-38 显示 各 种 协议 所 占 的 百分比 


(4) 单 击 Stop 按钮 即 可 停止 捕获 ,捕获 到 的 所 有 数据 显示 在 Ethereal 主 窗口 中 。 其 中 
包括 源 地 址 (Source) .目标 地 址 (Destination) 使 用 的 协议 (Protocol) 以 及 该 数据 包 的 简单 


信息 (Info) 等 ,如 图 9-39 所 示 。 
DE 
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图 9-39 捕获 的 数据 


如 果 需 要 重新 捕获 数据 ,选择 Capture 菜单 中 的 Start 命令 即 可 。 

3. 过 滤 数据 包 

在 捕获 数据 时 ,Ethereal 会 将 所 有 协议 的 数据 包 都 捕获 下 来 ,但 并 不 是 所 有 的 数据 包 都 
是 所 需 的 ,因此 需要 将 所 需 的 数据 包 过 滤 出 来 ,例如 ,在 捕获 完 数据 后 ,需要 分 析 使 用 IP 协 
议 的 数据 包 , 可 在 Filter 文本 框 中 直接 输入 ip, 按 Enter 键 或 单 击 Apply 按钮 , 即 可 以 在 该 窗 
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口中 将 使 用 外 协议 的 数据 包 全 部 过 滤 出 来 ,而 使 用 其 他 协议 的 数据 包 将 全 部 隐藏 ,如 图 9-40 
所 示 。 
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图 9-40 过滤 IP 协议 的 数据 包 


除了 直接 输入 要 过 滤 的 条 件 ,所 有 的 过 滤器 (Filter) 都 可 以 进行 设置 , 单 击 Expression 
按钮 ,显示 图 9-41 所 示 的 Ethereal: Filter Expression 窗口 ,可 以 设置 要 过 滤 的 各 种 条 件 。 

在 Field name 列表 框 中 可 以 选择 要 过 滤 的 字段 名 ,也 就 是 要 过 滤 的 各 种 协议 条 件 , 如 
HTTP\IP 等 ,将 其 展开 可 以 选择 详细 的 字段 ; 在 Relation 列表 中 选择 可 使 用 的 关系 ; 
Value 文本 框 中 用 来 设置 数值 ,如 IP 地 址 等 。 

另外 ,可 以 使 用 如 或 .与 、 非 等 逻辑 操作 符 将 表达 式 组 合 起 来 。 

(1) &&.， 逻辑 与 ,如 ip. addr 二 10. 0. 0. 1&.&.tcp. flag. fin。 

(2) | 1: 逻辑 或 ,如 ip. addr 二 10.0.0.1|| ip.add==10. 0.0.2。 

(3) ~: 异 或 ,如 tr. dst[0:3]====0. 6.29 xor tr. src[0:3] 王 二 

(4) !: 逻辑 非 , 如 ! llc。 

例如 ,要 过 滤 IP 地 址 为 10.0. 0. 90 的 主 
机 所 接收 或 发 送 的 所 有 IP 报 文 ,Filter 文本 
框 中 所 使 用 的 表达 式 就 应 该 如 下 。 


ip.addr = = 192.168.1.77 and ip 


然后 , 按 Enter 键 或 单 击 Apply 按钮 ,就 
会 过 滤 出 IP 地 址 为 192. 168. 1.77 的 主机 所 
发 送 和 接收 的 数据 包 , 如 图 9-42 所 示 。 

提示 : 在 Filter 框 中 输入 过 滤 值 时 ,如 
果 背 景 是 绿色 ,说 明 所 输入 的 Filter 值 的 格 
式 是 正确 的 ,如 果 背 景 显示 为 红色 , 则 说 明 图 9-41 Ethereal: Filter Expression 窗口 
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图 9-42 ”过滤 的 数据 包 


你 设 定 的 Filter 值 不 是 Ethereal 允许 的 值 。 利 用 这 个 特点 可 以 判断 所 输入 的 过 滤器 表达 式 


是 否 正确 。 


作为 网 络 管理 员 ,会 经 常 分 析 网 络 ,并 且 经 常 使 用 各 种 过 滤器 过 滤 自 己 所 需要 的 数据 。 
如 果 有 些 过 滤器 要 经 常 使 用 ,但 对 一 些 复 杂 的 过 滤器 , 记 起 来 太 麻烦 ,就 可 以 将 这 些 过 滤器 
保存 在 Ethereal 中 , 当 以 后 再 使 用 的 时 候 直接 选择 即 可 。 


在 Ethereal 窗口 中 单 击 Filter 按钮 ,显示 图 9-43 
所 示 的 Ethereal: Display Filter 窗口 ,在 这 里 可 以 设 
置 多 个 过 滤器 。 

(1) New: 单 击 该 按钮 可 以 添加 一 个 新 的 过 
滤器 。 

(2) Filter name: 设置 过 滤器 的 名 称 。 该 名 称 并 
无 实际 意义 ,主要 是 用 来 与 其 他 过 滤器 区 分 。 

(3) Filter string: 设置 过 滤器 的 表达 式 。 单 击 
Expression 按钮 会 显示 Ethereal: Filter Expression 
窗口 ,可 以 设置 过 滤器 的 各 种 条 件 。 

当 一 个 过 滤器 设置 完成 以 后 , 单 击 Save 按钮 即 可 
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9-43 Ethereal: Display Filter 窗口 


保存 在 Filter 列表 框 中 。 管 理 员 可 以 设置 多 个 不 同 的 过 滤器 , 当 以 后 需要 使 用 同样 的 过 滤 


器 时 ,直接 从 过 滤器 列表 中 选择 就 可 以 了 。 
4. 捕获 设置 


为 了 使 Ethereal 能 够 顺利 捕获 数据 ,必须 对 其 进行 一 定 的 设置 。 
依次 选择 Capture 一 Options 命令 ,显示 图 9-44 所 示 的 Ethereal: Capture Options 窗 


口 。 其 中 部 分 选项 的 含义 如 下 。 
(1) Interface: 选择 用 来 捕获 数据 的 网 卡 。 


(2) Buffer size: 设置 缓冲 区 的 大 小 :单位 为 MB, 默 认为 1MB。 
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(3) Capture packets in promiscuous mode: 是 否 使 用 混杂 模式 捕获 数据 。 一 般 取 消 选 
中 该 复 选 框 ,只 捕获 本 地 计算 机 中 发 送 的 数据 包 。 如 果 选 中 该 复 选 框 则 使 用 混杂 模式 ,捕获 
所 有 数据 包 。 

(4) Limit each packet to: 限制 每 个 包 的 大 小 ,默认 为 不 限制 。 

(5) Capture Filter: 设置 过 滤器 。 

在 Capture File 选项 区 域 中 ,可 以 设置 是 否 保存 捕获 的 数据 ,如 果 要 保存 捕获 的 数据 ， 
可 在 File 文本 框 中 输入 保存 路 径 和 文件 名 。 

设置 完成 后 , 单 击 Capture 按钮 , 即 可 使 用 所 做 的 设置 捕获 数据 。 

5. 保存 捕获 数据 

使 用 Ethereal 捕获 的 数据 可 以 帮助 网 络 管理 员 分 析 网 络 状 况 , 找 出 网 络 故障 所 在 ,将 
捕获 的 数据 保存 起 来 , 则 可 以 方便 日 后 进行 分 析 。 

(1) 依次 选择 File->Save 命令 ,显示 图 9-45 所 示 的 Ethereal: Save file as 对 话 框 。 浏 
览 保存 位 置 ,在 "文件 名 "文本 框 中 输入 要 保存 的 文件 名 。 在 Packet Range 选项 区 域 中 可 以 
选择 要 保存 的 数据 范围 ,默认 选中 All packets 单 选 按钮 , 即 保存 所 有 数据 包 。 
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图 9-44 Ethereal: Capture Options 窗口 图 9-45 Ethereal: Save file as 对 话 框 


(2) 单 击 “保存 "按钮 ,所 捕获 的 数据 将 被 保存 到 一 个 文件 中 。 


如 果 想 查看 该 数据 , 则 可 在 Ethereal 窗口 中 依次 选择 File->Open 命令 ,打开 保存 的 文 
件 即 可 。 


9.3 “IP 地 址 资源 管理 


在 大 多 数 的 局 域 网 中 ,IP 地 址 是 计算 机 通信 的 唯一 基础 。 当 网 络 计 算 机 数量 比较 多 
时 , 想 要 准确 记忆 每 一 台 计 算 机 的 IP 地 址 ,显然 是 一 件 不 太 可 能 的 事情 。 如 果 网 络 规模 相 
当 大 ,而 且 划 分 了 VLAN ,那么 网 络 管理 员 更 无 法 准确 记忆 用 户 IP 地 址 了 。 


9.3.1 IP Address Tracker 


SolarWinds IP Address Tracker 可 用 于 监控 网 络 上 IP 地 址 的 使 用 情况 ,也 可 用 来 分 配 


。® Ee] 
第 9 章 ”网 络 协议 和 资源 管理 。 345 
IP 地 址 。IP Address Tracker 是 一 款 免费 软件 ,适用 于 Windows XP/2003/Vista/2008, 该 软件 


可 以 直接 从 其 官方 网 站 (http://www. solarwinds. com) 进 行 下 载 , 安 装 完成 后 即 可 使 用 。 
1. 扫描 子 网 


扫描 子 网 的 步骤 如 下 。 
这 a (1) 依次 选择 Subnet> New 命令 ,显示 图 9-46 所 示 
a SS, 的 New Subnet 对 话 框 。 在 Subnet Name 文本 框 中 ,输入 


图 9-46 ”New Subnet 对 话 框 所 要 扫描 的 网 络 名 称 ,在 Subnet Address 和 Mask 文本 框 
中 ,输入 所 要 扫描 网 络 的 网 络 段 和 子 网 掩 码 。 

(2) 单 击 OK 按钮 , 即 可 开始 扫描 ,扫描 完成 后 显示 图 9-47 所 示 的 扫描 结果 窗口 。 

2. 标记 IP 地 址 

默认 情况 下 ,扫描 完成 后 只 将 IP 地 址 标记 为 已 使 用 和 可 用 两 种 状态 ,并 不 会 将 预 留 的 
IP 地 址 标记 出 来 ,此 时 ,为 了 便于 管理 和 查看 ,可 以 手动 标记 预 留 的 IP 地 址 。 

在 扫描 结果 中 , 右 击 可 用 的 IP 地 址 ,在 快捷 菜单 中 选择 Mark Select Address as 
Reserved 命令 , 即 可 将 该 IP 地 址 标记 为 紫色 ,如 图 9-48 所 示 。 
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图 9-47 扫描 结果 图 9-48 标记 IP 地 址 


3. 凭据 设置 

依次 选择 File-> Credentials& .Settings 命令 ,显示 图 9-49 所 示 的 Network/Scanner 
Settings 对 话 框 。 在 Community Strings 选项 卡 
中 ,选中 Enable SNMP discovery 复 选 框 ,启用 
SNMP 发 现 功能 ,在 空白 文本 框 中 ,输入 当前 网 
络 中 所 使 用 的 SNMP 字符 串 , 单 击 Add 按钮 , 添 
加 该 字符 串 。 另 外 ,还 可 以 根据 需要 设置 SNMP 
字符 串 的 顺序 ,选中 SNMP 字符 串 , 单 击 讲 按钮 
或 二 按钮 调整 即 可 。 

选择 图 9-50 所 示 的 Scanning 选项 卡 , 根 据 
需要 拖 动 滑 块 设置 所 需 的 值 ,具体 内 容 包 括 每 个 ”图 9-49 Network/Scanner Settings 对 话 框 
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IP 地 址 所 发 送 的 Ping 包 的 数量 ,发送 Ping 包 的 时 间 间 隔 、Ping 包 的 超时 时 间 等 。 

4. 导出 扫描 结果 

IP Address Tracker 扫描 完成 后 ,可 以 将 信息 导出 到 其 他 工具 ,通过 导出 、 复 制 和 粘贴 
功能 ,还 可 以 打印 发 现 的 信息 。 

依次 选择 File 一 Export 命令 ,显示 图 9-51 所 示 的 Select the Fields you would like 
included 对 话 框 ,根据 需要 选择 所 要 导出 的 内 容 , 主 要 包括 IP 地 址 .DNS 名 称 、 系 统 名 称 等 。 


Cormunty Sungt [ Scannergd 
IPINGs wl be wert for each IP Addhess 


ravaial PING: wall hove a lost 45 mboecond: baveen hen 


Notwete packets wll me n 2500 misecars 
I 


1 


图 9-50 ”Scanning 选项 卡 图 9-51 Select the Fields you would like included 对 话 框 
单 击 OK 按钮 ,根据 提示 设置 导出 文件 的 路 径 及 名 称 即 可 。 
9.3.2 子 网 计算 工具 


子 网 计算 工具 可 以 通过 IP 地 址 和 子 网 掩 码 来 计算 子 网 内 的 可 用 IP 地 址 ,并 且 可 以 分 
别 用 二 进 制 和 十 进 制 来 表示 。 使 用 该 工具 还 可 以 测试 网 络 内 所 使 用 的 IP 地 址 和 子 网 掩 码 
是 否 正确 。 子 网 计算 工具 是 免费 的 绿色 软件 ,不 需要 安装 ,下 载 后 即 可 使 用 。 

1. 计算 子 网 内 的 可 用 IP 地 址 


运行 子 网 计算 工具 ,显示 图 9-52 所 示 的 “ 子 “| nes PemazRr| 1 
网 计算 工具 V1. 1 窗口 ,其 中 各 选项 的 作用 | 入 家 | ks oooeene en en oo 
请 运 择 撞 码 位 牛 : 


了 网络 撞 本 :011114 11111111 00000000 0000000( 
如 下 。 加 加 可 
(1) 请 输入 主机 IP: 输入 网 络 内 已 知 的 任 |‖ 忆 册 及 zsoo 
意 一 个 IP 地 址 。 
(2) 请 选择 掩 码 位 数 : 通过 拖 动 滑 块 可 以 Es 
选择 掩 码 位 数 ,并 在 “网 络 拖 码 " 中 可 以 看 到 该 
位 置 的 掩 码 IP 地 址 。 
(3) 子 网 可 用 IP 地 址 : 此 处 用 来 显示 计算 图 9-52 “ 子 网 计算 工具 V1. 1" 窗 口 
出 的 网 络 内 可 用 的 IP 地 址 范围 。 


在 软件 主 窗口 的 右 侧 区 域 .会 以 二 进 制 的 形式 显示 网 络 地 址 和 子 网 掩 码 。 除 显示 输 
入 IP 地址 段 外 ,还 会 显示 所 输入 某 个 具体 的 IP 地址 的 二 进 制 数值 ,例如 ,网 络 内 的 某 台 
计算 机 的 IP 地 址 为 192. 168. 1.10, 子 网 拖 码 为 255. 255. 255. 192, 如 果 想 要 知道 该 子 网 内 
的 可 用 IP 地 址 范围 ,可 在 “请 输入 主机 IP” 文 本 框 中 输入 IP 地 址 192. 168. 1. 10, 在 “请 选择 
掩 码 位 数 ” 中 用 鼠标 拖 动 滑 块 ,选择 网 络 掩 码 为 255.255. 255. 192。 此 时 ,就 会 在 “ 子 网 可 用 
IP 地 址 ”中 显示 出 该 网 络 内 的 可 用 IP 地 址 ,为 192. 168. 1. 1 一 192. 168. 1. 62, 如 图 9-53 
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所 示 。 

在 该 窗口 右 侧 ,除了 显示 出 各 个 IP 地 址 和 网 络 掩 码 的 二 进 制 数 值 外 ,还 显示 出 了 子 网 
地 址 和 广播 地 址 。 实 际 上 , 子 网 地 址 加 上 1, 广播 地 址 减 去 1, 就 是 子 网 可 用 IP 地 址 。 

2. 划分 子 网 

在 局 域 网 中 ,可 能 经 常会 遇 到 划分 子 网 的 情况 发 生 , 例 如 添加 新 设备 ,网 络 改造 等 。 使 
用 子 网 计算 工具 ,可 以 轻松 地 对 所 拥有 的 网 络 地 址 进行 子 网 划分 。 

例如 ,现在 有 一 个 网 络 段 为 192. 168. 17. x, 想 把 它 划分 为 几 个 子 网 。 首 先 , 在 子 网 计算 
工具 中 选择 网络 IP- 之 各 子 网 IP"” 选 项 卡 ,在 "请 输入 要 规划 的 网 络 地 址 "文本 框 中 ,输入 要 
划分 的 网 络 地 址 192. 168.17.0, 在 “要 划分 的 子 网 数量 ”下拉 列表 框 中 选择 要 划分 为 几 个 网 
段 , 这 里 选择 4。 然 后 单 击 * 计 算 " 按 钮 , 即 可 将 该 网 络 分 成 4 个 子 网 ,并 在 右 侧 “各 网 络 主机 全 
地 址 范围 ”列表 框 中 显示 出 各 个 网 段 的 全 地 址 ,并 显示 出 子 网 掩 码 和 每 网 段 主 机 数 ,如 图 9-54 
所 示 。 


了 HIR VL 
主机 PF 二子 同 P 


ee 请 三 和 要 失地 址 
大 | 十 : 11000000 10101000 00000001 0000101( 打 广 广 三 
TY YY mol 有 
请 选择 拉 码 拉 雪 : 192 168 17 64 ~ 192 168.17 127 
:Mo00000 10101000 00000001 ooooooot .ES 192 160.17.128 — 132 168.17-191 
a 192 16017 192 二 192 168.17.255 
了 < 主机 地 直 和 3 短 9 与 运 阳 WU 
广 本 4， 11000000 10101000 00000001 00111111 
三明 地 由 。 192.168.1.63 


地址 -1 | | 全 广 面 地 tt 。 了 bit 和 3 本 99 导 和 


FAR: 255.255.255 192 
注 癌 民主 机 下 :6 


届 出 凶 ) 帮助 时) 


图 9-53 子 网 计算 实例 图 9-54 划分 子 网 实例 


9.3.3 ”IP 地 址 管理 一 一 IPMaster 


IPMaster 是 一 款 对 IP 地 址 进行 管理 的 软件 ,使 用 该 软件 可 以 提高 管理 员 的 工作 效率 ， 
在 大 型 网 络 中 ,使 用 该 软件 可 以 有 序 和 高 效 地 实现 大 中 小 型 企业 网 IP 地 址 的 分 配 和 管理 。 
该 软件 主要 包括 如 下 功能 : IP 地 址 分 配 、 自 动 子 网 计算 、 掩 码 计算 、 子 网 划分 、 网 段 扫 描 、 主 
机 监控 、Ping、TraceRoute、Telnet、Netsend 等 。 


1. 主要 功能 
IPMaster 软件 是 一 款 绿色 软件 ,下载 解压 后 即 可 直接 
运行 。 [LE 
(1) 运行 IPMaster 软件 程序 ,显示 图 9-55 所 示 的 “登录 ”对 CT 
话 框 ,提示 输入 登录 密码 ,默认 密码 为 空 。 ee 


(2) 单 击 “ 确 定 ” 按 钮 , 即 可 打开 图 9-56 所 示 的 软件 窗口 。 
整个 界面 分 为 4 部分: 左边 树 状 显示 的 是 IP 拓扑 ; 右边 上 半 部 分 显示 的 是 子 网 或 主机 的 属 
性 ; 右边 下 半 部 分 是 子 网 的 内 容 ; 下 面 是 提示 信息 。 不 同类 型 的 子 网 会 用 不 同 颜色 的 图 标 
显示 。 
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图 9-56 显示 工作 界面 


IPMaster 软件 主要 功能 介绍 如 下 。 

(1) 新 建 管理 网 段 。 

(2) 子 网 自动 划分 功能 : 在 可 再 分 类 型 的 节点 下 ,输入 所 需 子 网 数 、 子 网 中 的 主机 数 或 
掩 码 ,系统 会 自动 规划 子 网 ,系统 在 规划 时 会 自动 跳 过 网 段 中 已 分 配 和 保留 类 型 的 子 网 。 

(3) 子 网 手工 划分 功能 : 在 可 再 分 类 型 的 节点 下 ,可 根据 子 网 的 IP 地址 和 掩 码 , 手 工 划 
分 子 网 。 

(4) 删除 功能 : 可 删除 指定 的 子 网 。 

(5) 主机 相关 功能 : Ping、Traceroute、Telnet、Netsend, 其 中 Netsend 功能 只 适用 于 已 
启动 Messenger 服务 的 Windows 主机 。 

(6) 查找 功能 : 可 根据 子 网 标识 .主机 IP 地 址 或 名 称 进行 查询 ,需要 注意 的 是 , 当 按 照 
名 称 查找 时 ,应 注意 大 小 写 。 

(7) 保存 功能 : 可 以 保存 地 址 库 划分 信息 ,下 次 系统 运行 时 会 自动 加 载 显 示 。 

(8) 打开 功能 : 用 户 可 以 打开 扩展 名 为 .adl 的 地 址 库 信 息 文件 ,并 将 其 显示 在 窗口 中 。 

(9) 输出 功能 : 用 户 可 以 根据 自己 的 实际 需要 ,将 地 址 库 信息 输出 到 Excel 文件 中 。 

(10) 修改 恢复 功能 : 当 修 改 错误 或 失败 时 ,可 以 撤销 或 重 做 最 后 所 做 的 子 网 划分 操作 。 

(11) 扫描 功能 : 可 以 自动 扫描 已 分 配 类 型 子 网 中 所 有 的 主机 的 名 称 、MAC 地 址 和 使 
用 人 。 

(12) 监控 功能 : 用 户 可 监控 指定 主机 的 运行 情况 , 当 该 主机 关闭 时 ,可 以 自动 报警 ,并 
且 报 警 记录 会 自动 保存 在 可 执行 程序 所 在 目录 中 的 “告警 记录 . log” 文 件 中 。 

(13) 多 种 子 网 显示 方式 : 用 户 可 以 根据 自己 的 需要 选择 合适 的 子 网 显示 方式 ,软件 所 
包括 的 显示 方式 具体 包括 如 下 内 容 :“ 显 示 已 分 配 与 可 再 分 网 段 *“ 显 示 全 部 网 段 *“ 显 示 
已 分 配 网 段 *“ 显 示 未 分 配 网 段 *“ 显 示 保 留 网 段 等 ,系统 默认 的 显示 方式 是 “显示 已 分 配 
与 可 再 分 网 段 ”。 

(14) 密码 功能 : 软件 提供 了 密码 登录 功能 ,用 户 可 以 根据 自己 需要 设置 密码 ,软件 初 
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始 密码 为 空 。 

2. 新 建 管理 网 段 

新 建 管理 网 段 的 步 又 如 下 。 

(1) 在 IPMaster 软件 主 窗口 中 ,依次 选 
择 “ 文 件 ”->“ 新 建 管理 网 段 " 命 令 , 显 示 图 9-57 
所 示 的 “新 建 管理 网 段 " 对 话 框 。 根 据 需 要 
输入 “网 段 名 称 ” 和 “网 段 地 址 ”, 系统 会 根 
据 地 址 类 型 自动 确定 网 络 掩 码 ,并 自动 显 
示 此 “网 段 类 型 "“ 子 网 ID”“ 地 址 范围 "等 
信息 。 

(2) 单 击 " 确 定 "按钮 ,系统 将 会 在 树 状 图 9-57 显示 输入 网 段 的 信息 
拓扑 图 的 IPMaster-Root 节点 下 新 建 一 个 网 
段 , 如 图 9-58 所 示 。 


图 9-58 显示 建立 成 功 的 网 段 


注意 : 通过 此 菜单 新 建 的 网 段 都 会 被 分 配 在 IPMaster-Root 节点 下 ,成 为 IP 地 址 库 的 
根 ,其 节点 类 型 默认 为 “可 再 分 ”。 

3. 子 网 自动 划分 

使 用 软件 提供 的 自动 划分 子 网 功能 ,可 以 让 系统 自动 划分 子 网 。 

(1) 在 IPMaster 主 窗口 右 侧 , 右 击 可 再 分 类 型 的 管理 网 段 ,在 快捷 菜单 中 选择 "划分 ” 
命令 ,显示 图 9-59 所 示 的 “划分 子 网 ”对 话 框 ,选中 “自动 划 
分 " 单 选 按 钮 。 


Se (2) 单 击 “下 一 步 ? 按 钮 ,显示 图 9-60 所 示 的 “自动 划 

分 ”对话 框 。 在 该 对 话 框 中 ,分 别 输入 “划分 的 子 网 数量 ”、 
ee “ 子 网 中 的 主机 数 ” 或 “ 子 网 拖 码 ”等 信息 。 

en | (3) 单 击 “ 下 一 步 "按钮 ,系统 会 自动 规划 生成 子 网 ,如 


图 9-61 所 示 。 此 时 ,在 系统 自动 规划 过 程 中 ,会 自动 跳 过 
图 9-59 “划分 子 网 ”对 话 框 。 所 规划 网 段 中 已 分 配 和 保留 的 子 网 。 
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的 FB: FBR 名 称 wu 
FH 92168.1 09/27 Er 
et W192 las 1 32/2r 23 电 到 
GET [90 168.1 62r 23 电 到 

排 玛 位 数 : a4 位 a i 
= | CE ww | 

图 9-60 “自动 划分 ”对话 框 图 9-61 “确认 ”对 话 框 


注意 : 默认 情况 下 ,系统 生成 的 子 网 类 型 是 “已 分 配 ”, 用 户 也 可 根据 需要 修改 子 网 的 类 
型 ,输入 子 网 的 名 称 或 取消 划分 某 个 子 网 (去 掉 子 网 前 的 check box 标签 )。 

(4) 单 击 “ 确 定 ” 按 钮 ,系统 即 可 按 要 求 在 指定 的 节点 上 生成 子 网 。 

4. 子 网 手工 划分 

除 使 用 软件 的 子 网 自动 划分 功能 ,还 可 以 使 用 手动 设置 的 方式 划分 子 网 。 使 用 手工 划 
分 方式 ,可 以 自 定义 设置 名 称 、IP 地 址 、 子 网 掩 码 、 子 网 类 型 等 内 容 。 

(1) 在 IPMaster 主 窗口 右 侧 , 右 击 可 再 分 类 型 的 管理 网 段 ,在 快捷 菜单 中 选择 “划分 ” 
命令 ,显示 图 9-62 所 示 的 “划分 子 网 "对话 框 ,选中 “手工 划分 " 单 选 按钮 。 

(2) 单 击 "下 一 步 按 钮 ,显示 图 9-63 所 示 的 “手动 划分 "对话 框 。 在 该 对 话 框 中 ,分 别 
输入 欲 划 分 子 网 的 “名 称 ”“IP 地 址 ”“ 子 网 拖 码 "和 “ 子 网 类 型 "等 信息 。 


At 
“FX 
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图 9-62 “划分 子 网 "对 话 框 图 9-63 “手动 划分 "对 话 框 


(3) 单 击 “ 确 定 ” 按 钮 .系统 会 根据 要 求生 成 指定 的 子 网 ,如 图 9-64 所 示 。 

5. IP 地 址 扫描 

使 用 IP 地 址 扫描 功能 ,可 以 扫描 某 一 管理 网 段 的 所 有 IP 地 址 ,以 及 正在 使 用 的 客户 端 
的 信息 ,例如 主机 名 、MAC 地 址 等 。 

在 IPMaster 主 窗口 右 侧 , 右 击 已 分 配 类 型 的 节点 ,在 快捷 菜单 中 选择 “扫描 ”命令 , 即 
可 自动 扫描 已 分 配 类 型 子 网 中 所 有 的 主机 的 名 称 、MAC 地 址 和 使 用 人 等 ,如 图 9-65 
所 示 。 

6. IP 监控 

使 用 IP 监控 功能 ,可 以 监控 客户 端 计算 机 是 否 正常 运行 ,以 及 响应 时 间 等 。 

(1) 在 IPMaster 主 窗口 中 ,选中 欲 监控 主机 的 “监控 ? 复 选 框 ,如 图 9-66 所 示 。 
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图 9-65 扫描 结果 
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图 9-66 ” 选 定 监控 主机 
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(2) 依次 选择 “工具 ”一 “监控 ”命令 , 显示 
图 9-67 所 示 的 “监控 "对 话 框 。 在 该 对 话 框 中 , 显 
示 了 被 监控 主机 的 运行 情况 。 | 

注意 当主 机 关闭 时 ,系统 下 方 的 提示 信息 窗 | | 人 em 一 站 加 
口 会 以 红色 提示 信息 进行 告警 ,告警 记录 会 自动 
保存 在 可 执行 程序 所 在 目录 中 的 “告警 记录 . log” 
文件 中 。 

用 户 还 可 以 根据 自己 的 要 求 ,设置 监控 的 时 
间 间 隔 ,在 "监控 间 隔 " 文 本 区 域 中 输入 和 欲 设置 的 
时 间 间 隔 , 其 时 间 单位 为 分钟”。 


9.4 ”共享 资源 管理 


网 络 的 最 大 特点 和 最 主要 应 用 是 共享 资源 ,因此 ,网 络 中 共享 资源 的 设置 与 应 用 在 网 络 
应 用 中 占有 很 重要 的 地 位 。 共 享 文件 夹 的 权限 与 NTFS 权限 略 有 不 同 ,NTFS 权限 是 针对 
本 地 用 户 账户 和 组 设 定 的 ,而 共享 权限 则 是 针对 网 络 用 户 设 定 的 。 毫 无 疑问 ,两 者 都 是 确保 
数据 安全 的 重要 手段 。 


9.4.1 共享 文件 夹 的 权限 


共享 资源 提供 对 应 用 程序 ,数据 或 用 户 个 人 数据 的 访问 。 既 可 以 直接 设置 共享 权限 ,也 
可 以 使 用 NTFS 文件 系统 上 的 访问 控制 ,还 可 以 将 这 些 方 法 结合 起 来 使 用 。 直 接 设置 共享 
权限 时 ,易于 应 用 和 管理 ; 借助 NTFS 权限 时 ,可 以 对 共享 资源 及 其 内 容 进行 更 详细 的 控 
制 ; 结合 使 用 时 ,将 应 用 更 为 严格 的 权限 ,例如 ,如 果 共 享 权 限 设 置 为 "Everyone 一 读 取 ”( 默 
认 值 ) 并 且 NTFS 权限 允许 用 户 更 改 共享 文件 , 则 将 应 用 共享 权限 ,不 允许 用 户 更 改 文件 。 

除了 可 以 直接 登录 到 服务 器 访问 资源 外 ,还 可 以 通过 共享 文件 夹 访问 网 络 远程 共享 资 
源 。 因 此 ,除了 设置 NTFS 权限 外 ,还 需要 设置 共享 文件 夹 权 限 。 在 “高 级 共享 ”对话 框 中 ， 
单 击 “ 权 限 ” 按 钮 , 即 可 显示 “soft 的 权限 ”( 此 处 以 soft 文件 夹 为 例 ) 对 话 框 ,显示 并 设置 该 共 
享 文件 夹 的 权限 ,如 图 9-68 所 示 。 


图 9-67 监控 主机 


提示 : 通常 情况 下 ,只 有 在 想 要 履 盖 已 指派 的 特定 权限 


[TD | 时 , 才 会 使 用 拭 绝 权限 。 另 外 , 当 创建 新 的 共享 资源 时 ,会 自 
一 动 指派 Everyone 组 为 读 取 权限 ,这 种 权限 是 最 受 限制 的 
一 一 

权限 。 


共享 文件 夹 权 限 具 有 以 下 特点 。 

(1) 共享 文件 夹 权 限 只 适用 于 文件 夹 , 不 适用 于 单独 的 
文件 ; 只 能 为 整个 共享 文件 夹 设置 共享 权限 ,而 不 能 对 该 共 
享 文件 夹 中 的 文件 或 子 文件 夹 进行 设置 。 所 以 ,共享 文件 夹 
权限 不 如 NTFS 文 件 系统 权限 详细 。 

(2) 共享 文件 夹 权 限 并 不 对 直接 登录 到 计算 机 上 的 用 户 
图 9-68 共享 文件 夹 的 权限 ”起 作用 ,只 适用 于 通过 网 络 连 接 该 文件 夹 的 用 户 。 也 就 是 
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说 ,共享 权限 对 直接 登录 到 服务 器 上 的 用 户 是 无 效 的 。 

(3) 在 FAT/FAT32 系统 卷 上 ,共享 文件 夹 权 限 是 保证 网 络 资源 被 安全 访问 的 唯一 
方法 。 

(4) 默认 的 共享 文件 夹 权 限 是 读 取 ,并 被 指定 给 Everyone 组 。 

共享 权限 分 为 读 取 、 修 改 和 完全 控制 3 种 。 不 同 访问 权限 以 及 对 用 户 访问 能 力 的 控制 
如 下 。 

@ 读 取 : 显示 文件 夹 名 称 、 文 件 名 称 、 文 件数 据 和 属性 ,运行 应 用 程序 文件 ,以 及 改变 
共享 文件 夹 内 的 文件 夹 。 

@ 修改 : 创建 文件 夹 ,向 文件 夹 中 添加 文件 ,修改 文件 中 的 数据 ,向 文件 中 追加 数据 ， 
修改 文件 属性 ,删除 文件 夹 和 文件 ,以 及 执行 “ 读 取 ”权限 所 允许 的 操作 。 

@ 完全 控制 : 修改 文件 权限 ,获得 文件 的 所 有 权 , 执 行 “修改 ”和 “ 读 取 ”权限 所 允许 的 
所 有 任务 。 默 认 情 况 下 ,Everyone 组 具有 该 权限 。 

共享 文件 夹 权限 的 多 重 权限 与 NTFS 文件 系统 权限 相似 ,参考 上 述 相关 内 容 。 在 管理 
共享 文件 夹 和 指定 共享 文件 夹 权限 时 ,应 当 注 意 以 下 几 个 方面 的 问题 。 

(1) 确定 每 个 资源 有 哪些 组 需要 访问 ,以 及 这 些 组 对 每 个 资源 各 自 不 同 的 权限 级 别 。 

(2) 为 资源 指定 最 严格 的 权限 ,只 要 允许 用 户 完成 所 需要 的 任务 即 可 。 

(3) 在 组 织 资源 时 ,将 对 安全 性 要 求 相 同 的 文件 夹 放 在 一 个 文件 夹 中 ,例如 ,如 果 用 户 
需要 拥有 几 个 文件 夹 的 读 取 权限 ,那么 ,最 好 将 这 些 应 用 文件 夹 存 放 在 同一 文件 夹 中 ,然后 
再 共享 这 个 文件 夹 ,而 不 是 单独 地 共享 每 个 文件 夹 。 

(4) 使 用 直观 的 共享 名 ,便于 用 户 识别 并 找到 所 需要 的 资源 。 

(5) 把 权限 指派 给 组 而 不 是 用 户 账 户 , 既 可 简化 对 访问 权限 的 管理 难度 ,又 可 避免 权 
限 分 配 出 现 问题 。 把 权限 指派 给 组 易于 管理 共享 资源 ,因为 不 用 重新 指派 权限 ,只 需 将 
用 户 从 组 中 添加 或 删除 即 可 。 若 和 欲 拒绝 对 共享 资源 的 所 有 访问 , 则 拒绝 完全 控制 权限 
即 可 。 

(6) 指派 最 具 限 制 的 权限 ,该 权限 仍 允 许 用 户 执行 需要 的 任务 ,例如 ,如 果 用 户 仅 需 读 
取 文 件 夹 中 的 信息 并 且 从 不 删除 、 创 建 或 更 改 文件 ,应 当 指 派 * 读 取 ” 权 限 。 

(7) 如 果 用 户 通 过 网 络 远 程 登录 主机 访问 共享 资源 (如 终端 服务 器 、 远 程 桌面 等 ), 则 用 
NTFS 文 件 系 统 权 限 或 访问 控制 设置 权限 即 可 。 

(8) 共享 权限 只 适合 通过 网 络 访问 共享 资源 的 用 户 , 并 不 适用 于 本 机 登录 的 用 户 。 可 
以 和 NTFS 权限 .访问 控制 等 措施 同时 使 用 。 

(9) 组 织 资源 使 安全 性 要 求 相 同 的 对 象 定位 于 同一 个 文件 夹 中 ,例如 ,如 果 用 户 需 要 几 
个 应 用 程序 文件 夹 的 * 读 取 ” 权 限 , 可 将 应 用 程序 文件 夹 存 储 在 同一 个 父 文件 夹 中 ,然后 , 共 
享 该 父 文件 夹 ,而 不 是 共享 每 个 应 用 程序 文件 夹 。 需 要 注意 的 是 ,如 果 需 要 更 改 应 用 程序 的 
位 置 ,可 能 需要 重新 安装 。 

(10) 当 共享 应 用 程序 时 ,将 全 部 共享 的 应 用 程序 组 织 在 一 个 文件 夹 中 。 

(11) 将 全 部 的 应 用 程序 组 织 在 一 个 共享 文件 夹 中 可 简化 管理 ,因为 这 样 仅 有 一 个 用 来 
安装 和 升级 软件 的 位 置 。 

(12) 为 了 避免 在 访问 网 络 资源 时 可 能 会 出 现 的 问题 ,建议 不 要 为 Everyone 组 设置 “ 拒 
绝 " 权 限 。 避 免 显 式 地 给 共享 资源 分 配 拒绝 权限 ,只 有 在 覆盖 已 分 配 的 指定 权限 时 , 才 有 必 


@。。 
354 网络 管理 与 工具 软件 应 用 


要 显 式 地 分 配 拒绝 权限 。 

(13) Everyone 组 包括 任何 可 以 访问 网 络 资源 的 用 户 ( 包 括 Guest 账户 ) ,但 不 包括 
Anonymous Logon 组 。 

(14) 限制 Administrators 组 中 授予 其 "完全 控制 ?权限 的 成 员 数 量 , 从 而 既 保 证 管理 员 
能 管理 应 用 软件 和 控制 用 户 权 利 , 又 不 会 因为 拥有 较 高 权限 的 用 户 数量 太 多 ,而 导致 对 访问 


权限 的 滥用 。 
(15) 通常 情况 下 ,建议 不 要 更 改 Everyone 组 的 默认 权限 ( 读 取 ) ,也 不 要 擅自 更 改 共享 
资源 的 默认 位 置 。 


(16) 尽量 使 用 域 用 户 账户 授予 用 户 访问 权限 。 

(17) 已 加 入 域 的 计算 机 ,尽量 通过 域 用 户 账户 授权 访问 共享 资源 ,而 不 是 通过 本 地 用 
户 账 户 , 从 而 实现 对 共享 权限 的 集中 管理 。 

(18) 使 用 集中 数据 文件 夹 ,可 以 方便 地 管理 资源 和 备份 数据 。 

(19) 为 共享 资源 使 用 直观 的 注释 ,确保 用 户 和 所 有 客户 端 操作 系统 容易 识别 和 访问 共 
享 资源 。 

(20) 使 用 防火 墙 ,阻止 来 自 Internet 的 恶意 访问 ,保护 共享 资源 的 安全 。 


9.4.2 共享 文件 夹 权限 与 NTFS 权限 


共享 文件 夹 权限 和 NTFS 权限 是 可 以 蚕 加 的 。 共 享 文件 夹 权 限 为 资源 提供 有 限 的 安 
全 性 ,而 NTFS 权限 为 共享 文件 夹 提供 最 大 的 灵活 性 。 不 论 是 在 本 地 访问 资源 ,还 是 通过 
网 络 访问 该 资源 ,NTFS 权限 都 是 非常 有 用 的 。 因 此 ,除了 设置 NTFS 权限 外 ,还 需要 设置 
共享 文件 夹 权限 。 

当 管 理 员 对 NTFS 权限 和 共享 文件 夹 的 权限 进行 组 合 时 ,组 合 结果 所 产生 的 权限 或 
者 是 组 合 的 NTFS 权限 ,或 者 是 组 合 的 共享 文件 夹 权限 ,哪个 范围 更 窗 . 更 严格 就 是 哪 
= 

例如 ,Folder 文件 夹 是 NTFS 分 区 上 的 共享 文件 夹 。 共 享 文件 夹 权 限 为 写 入 ; NTFS 
权限 为 读 取 。 网 络 用 户 最 终 的 访问 权限 即 为 读 取 , 而 不 允许 写 人 操作 ,如 图 9-69 所 示 ,这样 
可 以 更 加 有 效 地 确保 网 络 安全 。 


共享 文件 夹 权限 : 写 入 


QO 
ee 谈 取 4 \ Fa 


liuxh NTFS 权 限 : 读 取 


图 9-69 共享 文件 夹 权限 与 NTFS 权限 益 加 


当 在 NTFS 卷 上 为 共享 文件 夹 授予 共享 权限 时 ,应 当 遵守 下 述 规 则 。 

(1) 可 以 对 共享 文件 夹 中 的 文件 和 子 文件 夹 应 用 NTFS 权限 。 可 以 对 共享 文件 夹 中 包 
含 的 每 个 文件 和 子 文件 夹 应 用 不 同 的 NTFS 权限 。 

(2) 除 共享 文件 夹 权限 外 ,用 户 必 须要 有 该 共享 文件 夹 包 含 的 文件 和 子 文件 夹 的 
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NTFS 权限 ,才能 访问 那些 文件 和 子 文件 夹 。 在 FAT 卷 上 ,共享 文件 夹 权 限 是 保护 该 共享 
文件 夹 中 的 文件 和 子 文件 夹 的 唯一 权限 。 

(3) 在 NTFS 卷 上 必须 要 求 NTFS 权限 。 默 认 情 况 下 ,Everyone 组 具有 “完全 控制 ” 
权限 。 


9.4.3 设置 共享 文件 夹 


若 欲 实现 对 网 络 文件 资源 的 访问 ,必须 先 将 该 文件 夹 设 置 为 共享 ,然后 ,再 赋予 用 户 以 
相应 的 访问 权限 。 当 网 络 用 户 数量 较 多 时 ,创建 不 同 的 用 户 组 ,并 将 拥有 相同 访问 权限 的 用 
户 加 入 同一 个 用 户 组 ,这 样 可 以 减少 设置 用 户 权限 的 操作 。 设 置 共 享 文件 夹 可 以 通过 不 同 
的 方式 完成 ,下面 将 分 别 进行 介绍 。 

1. 在 文件 服务 器 中 设置 资源 共享 

在 文件 服务 器 中 设置 资源 共享 的 步骤 如 下 。 

(1) 在 “服务 器 管理 器 "窗口 中 ,在 左 侧 依 次 展开 “角色 ”一 “文件 服务 ">" 共享 和 存储 管 
理 " 目 录 , 或 依次 选择 “开始 "一 “管理 工具 ”一 “共享 和 存储 管理 "命令 ,打开 图 9-70 所 示 的 
“共享 和 存储 管理 ”窗口 ,在 中 间 窗 口 会 显示 当前 系统 所 共享 的 文件 夹 列表 。 
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图 9-70 共享 文件 夹 列表 


(2) 在 右 侧 * 操 作 ” 区 域 , 单 击 “ 设 置 共 享 " 链 接 , 显 示 图 9-71 所 示 的 “设置 共享 文件 夹 向 
导 ?" 对 话 框 。 在 “位 置 "文本 框 中 输入 和 欲 设置 为 共享 的 文件 夹 的 路 径 , 或 单 击 "浏览 ?按钮 , 济 
览 欲 设置 为 共享 的 文件 夹 的 路 径 。 用 户 也 可 以 根据 实际 需要 ,新 建 一 个 共享 文件 夹 , 并 将 其 
设置 为 共享 。 在 可 用 卷 列表 中 , 列 出 当前 系统 中 可 用 的 卷 ,选择 相应 的 卷 即 可 ,如 果 在 列表 
中 ,没有 合适 的 卷 .用 户 可 以 自己 创建 一 个 卷 。 

(3) 单 击 “ 下 一 步 ”按钮 ,显示 图 9-72 所 示 的 “NTFS 权限 ”对 话 框 。 指 定 NTFS 权限 以 
控制 具体 用 户 和 组 如 何在 本 地 访问 该 文件 夹 , 网 络 中 的 用 户 访问 该 文件 夹 时 ,就 会 以 其 所 登 
录 的 用 户 的 权限 来 访问 该 文件 夹 。 选 中 “ 否 , 不 更 改 NTFS 权限 ” 单 选 按 钮 ,将 会 以 该 文件 
夹 自己 的 NTFS 设置 来 控制 允许 访问 的 用 户 ; 选中 “是 ,更 改 NTFS 权限 " 单 选 按钮 ,并 单 击 
“编辑 权限 ”按钮 即 可 根据 需要 设置 该 文件 夹 的 访问 权限 。 
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图 9-72 “NTFS 权限 ”对话 框 


(4) 单 击 “下 一 步 "按钮 ,显示 图 9-73 所 示 的 “共享 协议 ”对 话 框 ,根据 需要 选择 可 访问 
该 共享 文件 夹 的 协议 ,因为 这 里 没有 安装 分 布 式 文件 系统 ,因此 NFS 选项 为 不 可 用 状态 。 
选中 SMB 复 选 框 ,在 “共享 名 ”文本 框 中 输入 欲 让 用 户 看 到 的 文件 夹 名 称 ,在 “共享 路 径 ” 中 
显示 的 是 用 户 访问 该 文件 夹 时 所 使 用 的 网 络 路 径 。 

(5) 单 击 “下 一 步 "按钮 ,显示 图 9-74 所 示 的 “SMB 设置 ?对 话 框 。 指 定 客户 端 如 何 通过 
SMB 协议 访问 此 文件 夹 , 用 户 可 以 在 “描述 "文本 框 中 添加 如 何 使 用 该 共享 文件 夹 的 信息 等 。 
在 “高 级 设置 ”选项 区 域 ,可 以 设置 “用 户 限制 “基于 访问 权限 的 枚 举 ”" 和 " 脱 机 设置 ”。 

(6) 单 击 “ 高 级 "按钮 ,显示 图 9-75 所 示 的 “高 级 ”对 话 框 。 如 果 服 务 器 的 性 能 不 是 很 好 
的 话 , 可 以 在 这 里 限制 同时 访问 该 服务 器 的 用 户 数量 ,从 而 达到 减 小 服务 器 负荷 的 目的 。 选 
中 “允许 的 最 多 用 户 数量 " 单 选 按钮 ,并 在 文本 框 中 输入 欲 设 置 的 用 户 数量 。 选 中 “启用 基于 
访问 权限 的 枚 举 " 复 选 框 ,可 以 根据 具体 用 户 的 访问 权限 筛选 用 户 可 以 看 到 的 共享 文件 夹 ， 
从 而 避免 显示 用 户 无 权 访问 的 文件 夹 和 其 他 共享 资源 。 


图 9-73 “共享 协议 ”对话 框 


图 9-74 “SMB 设 置 " 对 话 框 


(7) 选择 “缓存 ”选项 卡 ,如 图 9-76 所 示 。 设 置 允 许 用 户 访问 的 共享 内 容 , 以 及 如 何 使 
用 ,具体 设置 包括 如 下 内 容 。 


图 9-75 “高 级 "对话 框 图 9-76 “缓存 "选项 卡 
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@ 只 允许 用 户 访问 和 使 用 指定 的 文件 与 程序 。 

@ 允许 用 户 访问 和 使 用 所 有 共享 中 的 文件 与 程序 。 

@ 禁止 用 户 访问 和 使 用 共享 中 的 所 有 文件 与 程序 。 

(8) 单 击 “确定 "按钮 ,返回 "“SMB 设置 "对话 框 , 并 单 击 * 下 一 步 "按钮 ,显示 图 9-77 所 示 
的 “SMB 权限 ?对 话 框 。 在 “共享 路 径 ” 中 所 显示 的 即 为 网 络 中 用 户 的 访问 路 径 , 在 下 面 的 权 
限 设置 区 域 中 ,设置 该 共享 文件 夹 的 基本 共享 权限 。 


再 并 8 部 
WA 


图 9-77 “SMB 设置" 对 话 框 


(9) 单 击 “ 下 一 步 "按钮 ,显示 图 9-78 所 示 的 “DFS 命名 空间 发 布 " 对 话 框 。 指 定 现 有 的 
DFS 命名 空间 以 及 和 欲 在 该 命名 空间 创建 的 文件 夹 ,并 将 该 共享 文件 夹 发 布 到 命名 空间 中 ， 
具体 关于 DFS 命名 空间 的 内 容 , 可 参见 相关 内 容 , 这 里 就 不 再 著述 。 通 常情 况 下 ,保持 默认 
设置 即 可 。 


有 关 DTPs 全 名 且 9 和 信息 ， 衣 区间 二 会 字 间 。 


3 a 


图 9-78 “DFS 命名 空间 发 布 "对 话 框 


(10) 单 击 “ 下 一 步 " 按 钮 ,显示 图 9-79 所 示 的 “复查 设置 并 创建 共享 ”对话 框 。 在 “共享 
文件 夹 设置 "中 检查 前 面 所 做 的 设置 是 否 正确 , 单 击 * 上 一 步 "按钮 ,可 返回 重新 设置 。 


[9 
9 
第 9 章 “ 网络 协议 和 资源 管理 。 359 


图 9-79 “复查 设置 并 创建 共享 "对 话 框 


(11) 单 击 “ 创 建 " 按 钮 ,系统 开始 进行 创建 操作 ,创建 成 功 后 ,显示 图 9-80 所 示 的 “ 确 
认 ” 对 话 框 。 单 击 " 关 闭 ” 按 钮 ,完成 在 文件 服务 器 中 设置 共享 的 操作 。 此 时 新 创建 的 共享 即 
可 显示 在 “服务 器 管理 器 ”窗口 中 。 
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图 9-80 “确认 "对话 框 


2. 在 资源 管理 器 中 设置 

与 在 文件 服务 器 中 设置 共享 相 比 ,在 资源 管理 器 中 设置 共享 要 简单 得 多 。 有 具体 的 操作 
步骤 如 下 。 

(1) 打开 Windows 资源 管理 器 ,选择 想 要 设置 共享 或 者 已 经 创建 共享 的 文件 夹 或 驱动 
器 , 右 击 并 选择 快捷 菜单 中 的 “共享 "命令 .打开 “文件 共享 ”对 话 框 。 在 用 户 下 拉 列 表 框 中 选择 
和 欲 设置 允许 访问 该 共享 的 用 户 , 单 击 * 添 加 ?按钮 将 该 用 户 添加 到 正 下 方 的 用 户 列表 中 。 

(2) 添加 用 户 完成 后 ,在 用 户 列表 中 , 单 击 欲 设置 权限 的 用 户 名 的 “权限 级 别 " 下 拉 列 表 
框 , 并 在 列表 中 选择 该 用 户 的 访问 权限 :“ 读 取 ”“ 所 有 者 ”和 * 写 和 人”, 如 图 9-81 所 示 。 

(3) 设置 完成 后 , 单 击 * 共 享 按 钮 ,确认 共享 该 文件 夹 ,显示 图 9-82 所 示 的 “您 的 文件 
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夹 已 共享 ”对话 框 , 单 击 “ 完 成 按钮 完成 共享 。 
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图 9-81 设置 用 户 访问 权限 图 9-82 完成 共享 


3. 在 控制 台 树 中 设置 

(1) 依次 选择 “开始 ”一 “管理 工具 ”>“ 计 算 机 管理 ”命令 ,打开 “计算 机 管理 ”控制 台 , 接 
着 在 左 侧 栏目 录 树 中 ,展开 “共享 文件 夹 ”目录 树 并 选择 “共享 ”选项 ,显示 图 9-83 所 示 的 窗 
口 。 “共享 文 件 夹 ”选项 提供 有 关 本 地 计算 机 上 的 所 有 "共享 “会 话 ” 和 “打开 文件 ”的 相关 
信息 ,可 以 查看 本 地 计算 机 和 远程 计算 机 的 连接 与 资源 使 用 概况 。 


下 计 革 机 管理 


TT 
四 十 | 太 [m| a .3| 则 [mm 型 


图 9-83 “计算 机 管理 "窗口 


(2) 右 击 “ 共 享 ”选项 ,在 快捷 菜单 中 选择 “新 建 共 享 "命令 , 即 可 打开 “创建 共享 文件 夹 
向 导 ” 对 话 框 。 
(3) 单 击 “ 下 一 步 ”按钮 ,显示 图 9-84 所 示 的 “文件 夹 路 径 ” 对 话 框 。 在 “文件 夹 路 径 ” 文 
本 框 中 输入 欲 设置 为 共享 的 文件 夹 路 径 , 或 单 击 “ 浏 览 ” 按 钮 选择 文件 夹 或 创建 新 的 文件 夹 。 
(4) 单 击 “ 下 一 步 ”按钮 .显示 图 9-85 所 示 的 “名 称 、 描 述 和 设置 ”对话 框 ,指定 用 户 如 何 
在 网 络 上 查看 和 使 用 该 共享 。 在 “共享 名 ”文本 框 中 ,输入 显示 在 网 络 上 的 共享 名 称 ;“ 共 享 


路 径 " 中 所 显示 的 即 为 网 络 访问 路 径 ; 在 “描述 "文本 框 中 ,添加 该 共享 的 描述 信息 。 单 击 
“更 改 "按钮 ,可 以 修改 该 共享 的 " 脱 机 设置 ”。 


到 
欢迎 使 用 创建 共享 文件 夹 向 导 
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图 9-84 “文件 夹 路 径 ” 对 话 框 


图 9-85 “名 称 、 描 述 和 设置 "对 话 框 


(5) 单 击 “ 下 一 步 "按钮 ,显示 图 9-86 所 示 的 “共享 文件 夹 的 权限 ”对 话 框 。 通 过 设置 权 


限 ,能 够 控制 可 以 查看 该 共享 的 用 户 及 其 访问 级 别 。 


(6) 单 击 “ 完 成 ”按钮 ,系统 即 可 开始 执行 共享 操作 。 最 后 ,显示 图 9-87 所 示 的 “共享 
成 功 ” 对 话 框 , 单 击 “ 完 成 ”按钮 ,完成 该 共享 内 容 的 操作 。 如 果 选 中 “ 当 单 击 “ 完 成 ' 时 ,再 
次 运行 该 向 导 来 共享 男 一 个 文件 夹 " 复 选 框 , 将 会 在 单 击 “ 完 成 "按钮 后 ,再 次 运行 新 建 共 


享 向 导 。 


图 9-86 “共享 文件 夹 的 权限 "对 话 框 


9.4.4 ”访问 共享 文件 夹 资源 


和 
寺村 关 ja 寻 向 号 清单“ 夺 也 。 


图 9-87 “共享 成 功 ” 对 话 框 


企业 网 络 中 的 客户 端 计算 机 ,可 以 采用 多 种 方式 实现 对 文件 服务 器 的 访问 。 不 同 共享 
文件 夹 的 访问 方式 各 有 其 特点 .可 以 根据 实际 需要 选择 。 下 面 以 Windows Vista 客户 端 系 


统 为 例 进行 介绍 。 
1. 网 络 


依次 选择 开始” 网络? 命令 ,打开 图 9-88 所 示 的 网络” 窗口 ,系统 会 自动 发 现 网 络 


密码 即 可 。 
2. Windows 资源 管理 器 


中 的 计算 机 。 双 击 想 要 访问 共享 的 计算 机 ,在 弹出 的 窗口 中 ,输入 具有 访问 权限 的 用 户 名 和 


打开 Windows 资源 管理 器 ,在 "地址 ” 栏 中 输入 “\\ 计 算 机 名 \ 共 享 名 ”或 “\\ 计 算 机 IP 
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图 9-88 “网 络 "窗口 


地 址 \ 共 享 名 ”, 即 可 实现 对 文件 服务 器 中 相应 共享 文件 夹 的 访问 ,如 图 9-89 所 示 。 当 然 , 用 
户 必 须 拥 有 相应 的 访问 权限 才 行 。 


91 
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好 


人 回放 - 丽 -本本 Im- S| es :e601 70 
共事 中 心 下 站 二 届 ER 


让 3 十 对 象 
图 9-89 从 资源 管理 器 中 访问 共享 


3. 映射 网 络 驱动 器 

如 果 需 要 经 常 访问 文件 服务 器 中 的 共享 资源 ,可 以 采用 映射 网 络 驱动 器 的 方式 ,将 共享 
文件 夹 映射 为 本 地 计算 机 的 一 个 网 络 驱动 器 。 

右 击 欲 设置 为 网 络 驱动 器 的 共享 文件 夹 ,在 快捷 菜单 中 选择 “映射 网 络 驱动 器 ”命令 , 显 
示 “ 映 射 网 络 驱 动 器 "对 话 框 ,如 图 9-90 所 示 。 在 “驱动 器 "下拉 列 表 框 中 ,选择 分 配给 该 网 
络 驱动 器 的 盘 符 即 可 。 选 中 “登录 时 重新 连接 ” 复 选 框 ,在 计算 机 启动 时 会 自动 挂 接 该 共享 
文件 夹 , 而 不 必 每 次 都 执行 映射 操作 。 最 后 , 单 击 “ 完 成 "按钮 即 可 。 


9.4.5 监视 对 共享 文件 夹 的 访问 


当 网 络 中 存在 多 个 客户 端 访 问 共享 文件 夹 时 ,如 果 用 户 数 量 太 多 或 有 多 个 用 户 同时 打 
开 同 一 个 文件 时 , 则 可 能 会 因为 服务 器 负担 过 重 而 造成 死机 。 因 此 ,管理 员 需 要 时 刻 关 注 共 
享 文件 的 使 用 情况 , 即 需要 监视 有 哪些 客户 端 与 服务 器 连接 ,以 及 打开 了 哪些 文件 等 。 
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图 9-90 “映射 网 络 驱 动 器 "对 话 框 


1. 监视 会 话 

通常 情况 下 , 当 客户 端 计 算 机 访问 文件 服务 器 时 ,会 自动 建立 一 个 会 话 连接 ,通过 这 些 
会 话 记 录 ,管理 员 可 以 轻松 查看 用 户 所 建立 的 会 话 情况 。 另 外 , 当 客户 端 计算 机 关闭 所 打开 
的 文件 后 ,其 连接 有 可 能 仍然 存在 ,此 时 , 则 可 以 手动 关闭 这 些 会 话 连接 。 

(1) 在 “共享 和 存储 管理 ”窗口 右 侧 的 “操作 ” 栏 中 , 单 击 * 管 理会 话 ? 按 钮 ,显示 ”管理 会 
话 "窗口 。 在 “会话 ?列表 中 ,显示 了 当前 所 有 的 会 话 信息 ,例如 访问 共享 所 使 用 的 用 户 、. 计 算 
机 、 打 开 的 文件 或 文件 夹 数量 .连接 时 间 和 空闲 时 间 等 ,如 图 9-91 所 示 。 

(2) 在 ”会话 ?列表 中 ,选中 想 要 关闭 的 会 话 , 单 击 “ 关 闭 所 选 文件 "按钮 ,显示 图 9-92 所 
示 的 “共享 和 存储 管理 警告 框 。 提 示 如 果 在 不 发 出 警告 的 情况 下 断 开 连接 ,用 户 可 能 会 丢 
失 数据 。 
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图 9-91 “管理 会 话 ” 窗 口 图 9-92 “共享 和 存储 管理 "警告 框 


(3) 单 击 “ 是 ”按钮 ,可 以 立即 断 开 该 连接 。 

提示 : 如 果 存 在 多 个 共享 会 话 ,在 “管理 会 话 ”" 对 话 框 中 , 单 击 “全 部 关闭 ”按钮 , 则 可 断 
开 所 有 会 话 。 

另外 ,还 可 以 在 “计算 机 管理 ?窗口 中 ,查看 会 话 连接 ,依次 展开 “计算 机 管理 (本 地 ) ”一 
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“系统 工具 ”一 “共享 文件 夹 ”>“ 会 话 ” 目 录 , 在 中 间 窗 口中 即 可 查看 当前 所 建立 的 会 话 连 接 ， 
如 图 9-93 所 示 。 同 样 右 击 会 话 连接 ,在 快捷 菜单 中 选择 “关闭 会 话 ”命令 , 即 可 断 开 所 选 的 连接 。 
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图 9-93 查看 会 话 连接 


2. 监视 打开 的 文件 

通过 查看 用 户 所 打开 的 文件 ,可 以 详细 了 解 当 前 共享 的 使 用 情况 ,还 可 以 及 时 阻止 一 些 
非常 规 使 用 情况 的 发 生 。 

(1) 在 “共享 和 存储 管理 "窗口 中 ,在 右 侧 “操作 ” 栏 中 , 单 击 “ 管 理 打开 的 文件 "按钮, 显 
示 “ 管 理 打 开 的 文件 "窗口 。 在 “打开 文件 ”列表 中 ,详细 显示 了 当前 用 户 所 访问 的 共享 ,以 及 
打开 的 共享 文件 ,如 图 9-94 所 示 。 

(2) 在 “打开 文件 ”列表 中 ,选中 想 要 关闭 用 户 已 打开 的 文件 。 单 击 “ 关 闭 所 选 文件 " 按 
钮 ,显示 图 9-95 所 示 的 “共享 和 存储 管理 ”警告 框 。 提 示 如 果 在 不 发 出 警告 的 情况 下 断 开 连 
接 , 用 户 可 能 会 丢失 数据 。 
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图 9-94 “管理 打开 的 文件 "窗口 图 9-95 “共享 和 存储 管理 "警告 框 


(3) 单 击 “ 是 ”按钮 ,可 以 立即 断 开 该 连接 。 
另外 ,还 可 以 在 “计算 机 管理 ”窗口 中 ,查看 远程 用 户 所 打开 的 文件 ,依次 展开 “计算 机 管 
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理 ” 一 系统 工具 ”一 "共享 文件 夹 "一 打开 文件 "目录 ,在 中 间 窗 口中 即 可 查看 所 有 已 打开 的 
文件 ,如 图 9-96 所 示 。 右 击 会 话 连接 ,在 快捷 菜单 中 选择 “将 打开 的 文件 关闭 ?命令 即 可 。 
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图 9-96 关闭 打开 的 文件 


9.5 ” 域 用 户 管理 


网 络 上 的 每 个 使 用 者 都 是 用 户 ,而 用 户 在 网 络 中 的 权利 则 是 由 其 对 应 的 用 户 账户 决定 
的 。 用 户 的 权限 不 同 , 对 计算 机 及 网 络 控制 的 能 力 与 范围 就 不 同 。 组 是 网 络 管理 中 最 常用 
的 目录 对 象 之 一 ,管理 员 可 以 将 希望 统一 管理 的 对 象 添 加 到 相同 的 组 中 ,然后 对 组 进行 管理 
和 设置 ,并 自动 将 这 些 设置 传播 给 其 成 员 , 例 如 用 户 组 .计算 机 组 等 。 


9.5.1 用 户 账户 的 管理 


用 户 账户 的 管理 是 网 络 管理 员 的 一 项 重要 任务 ,主要 包括 创建 用 户 账户 .设置 登录 属 
性 ` 禁 用 账户 .删除 账户 .限制 用 户 登 录 行 为 等 。 看 似 简单 的 操作 , 稍 有 不 慎 很 可 能 导致 安全 
漏洞 的 产生 。 灵 活 掌 握 各 项 管理 任务 的 操作 ,可 以 使 管理 员 的 工作 事半功倍 。 

1. 创建 用 户 账户 

通常 情况 下 ,只 有 域 管理 员 或 者 被 委派 创建 用 户 账 户 权限 的 用 户 才 可 以 创建 用 户 账户 。 
默认 情况 下 , 域 控 制 器 已 经 启用 了 对 用 户 账户 密码 安全 的 一 些 限 制 , 包 括 禁 止 使 用 简单 密 
码 \ 空 白 密 码 、 使 用 期 限 等 。 

(1) 在 “服务 器 管理 器 "窗口 中 ,展开 指定 域 控 制 器 下 的 “Active Directory 用 户 和 计算 
机 ”目录 ,选择 Users 选项 ,显示 图 9-97 所 示 的 窗口 , 列 出 了 系统 默认 用 户 账户 。 

(2) 在 右 侧 窗口 空白 处 右 击 ,选择 快捷 菜单 中 的 “新 建 ”*>“ 用 户 ” 命 令 , 打 开 图 9-98 所 
示 的 “新 建 对 象 - 用 户 ” 对 话 框 ,输入 新 创建 的 用 户 的 信息 。 在 “ 姓 ” 文 本 框 中 输入 新 用 户 
的 姓氏 ; 在 “名 ”文本 框 中 输入 新 用 户 的 名 称 ; 在 “用 户 登 录 名 ”文本 框 中 输入 用 户 用 来 登录 
域 的 账号 名 ;“ 用 户 登 录 名 (Windows 2000 以 前 版 本 )” 是 用 户 从 Windows 2000 以 前 的 
Windows 系统 登录 域 时 使 用 的 用 户 名 ,保持 默认 即 可 。 

提示 : 建议 管理 员 在 创建 用 户 账户 时 ,尽量 输入 详细 的 用 户 信 息 , 便 于 日 后 维护 和 安全 
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图 9-97 “Active Directory 用 户 和 计算 机 ”窗口 


管理 工作 。 


(3) 单 击 * 下 一 步 "按钮 ,显示 图 9-99 所 示 的 对 话 框 ,为 新 添加 的 用 户 指定 登录 域 时 使 
用 的 密码 ,并 指定 对 于 密码 的 控制 权限 。 操 作 方法 与 本 地 计算 机 上 创建 用 户 账户 时 完全 相 


同 , 此 处 不 再 袭 述 。 


CE > 


图 9-98 “新 建 对 象 -用户 "对话 框 


图 9-99 设置 用 户 账户 密码 


提示 : 为 了 提高 网 络 的 安全 性 ,对 所 有 账户 密码 的 设置 ,应 尽量 使 用 含 字母 ,数字 及 下 


划 线 随机 组 合 的 密码 ,密码 之 间 尽 量 不 相关 ,以 确保 
账户 的 安全 。 

(4) 单 击 * 下 一 步 ? 按 钮 ,显示 图 9-100 所 示 的 用 
户 信息 摘要 对 话 框 , 单 击 * 完 成 "按钮 , 即 可 完成 新 用 
户 的 创建 。 

注意 : 如 果 设置 的 密码 不 符合 Windows Server 
2008 网 络 系统 密码 规则 ,将 提示 图 9-101 所 示 的 
“Active Directory 域 服务 ”对 话 框 ,返回 重新 更 改 
即 可 。 


sm ， 双 


9-100 ”确认 新 用 户 信息 
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2. 设置 用 户 账 户 属性 

活动 目录 的 一 个 基本 特点 就 是 目录 管理 功能 ,对 于 用 户 账户 的 管理 而 言 , 管 理 员 可 以 通 
过 用 户 账户 检索 到 对 应 用 户 的 大 量 实 用 信息 ,包括 E-mail 地 址 手机、 家庭 电话 、 办 公 室 电 
话 等 基本 信息 ,以 及 其 他 网 络 管理 信息 ,例如 配置 文件 设置 .访问 权限 .所 属 组 等 。 为 了 确保 
用 户 信 息 的 时 效 性 ,管理 员 创建 账户 时 应 尽量 完善 相关 信息 ,并 及 时 更 新 。 下 面 以 liuxh 用 
户 账户 为 例 ,分 别 介 绍 主要 选项 卡 中 的 用 户 账户 属性 设置 。 

(1)“ 常 规 ” 选 项 卡 

在 “常规 ”选项 卡 中 ,可 以 设置 用 户 的 常用 信息 ,如 图 9-102 所 示 。 主 要 包括 “ 姓 ”“ 名 ”、 
“显示 名 称 ”“ 描 述 ”“ 电 子 邮 件 ”“ 电 话 号 码 ”“ 网 页 ”等 基本 信息 。 
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图 9-101 “Active Directory 域 服务 "对 话 框 图 9-102 “常规 ?选项 卡 


(2)“ 地 址 ”选项 卡 

在 "地址 ”选项 卡 中 可 以 设置 用 户 所 属 的 “国家 /地 区 ”、“ 省 /自治 区 ”、“ 市 /县 “街道 ”、 
“邮政 信箱 ”和 “邮政 编码 ”等 通信 地 址 信息 ,如 图 9-103 所 示 。 

(3)“ 账 户 ” 选 项 卡 

在 “账户 ”选项 卡 中 可 以 对 用 户 的 登录 属性 进行 配置 ,如 图 9-104 所 示 。 
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图 9-103 “地 址 ”选项 卡 图 9-104 “账户 ”选项 卡 
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如 果 需 要 修改 用 户 的 登录 名 , 则 在 “用 户 登 录 名 ”文本 框 中 ,修改 当前 用 户 的 登录 名 称 。 
如 果 目 前 的 环境 是 多 域 控制 器 并 存 , 则 可 以 在 右 侧 的 下 拉 列 表 框 中 选择 其 他 的 域名 称 。 

注意 : 如 果 更 新 了 用 户 登 录 名 称 , 则 同步 更 新 “用 户 登 录 名 (Windows 2000 版 本 )” 文 本 
框 的 登录 名 称 。 

每 个 用 户 账户 包含 多 个 账户 选项 ,这 些 选 项 能 够 确定 如 何在 网 上 对 持 有 特殊 用 户 账 户 
进行 登录 的 人 员 实 施 身份 验证 。 在 “账户 选项 "列表 中 ,可 以 进行 当前 用 户 账户 的 密码 .委派 


等 功能 设置 。 每 个 选项 的 含义 如 表 9-1 所 示 。 


表 9-1 账户 选项 及 含义 
账户 选项 含义 
用 户 下 次 登录 时 须 更 改 | 强制 用 户 下 次 登录 网 络 时 更改 密码 。 当 希望 该 用 户 成 为 叭 二 知道 其 密码 的 
密码 人 时 ,使 用 该 选项 
- 阻止 用 户 更 改 其 密码 。 当 希望 保留 对 用 户 账 户 ( 如 来 宾 或 临时 账户 7 的 控制 
用 户 不 能 更 改 密码 Ra 
密码 永 不 过 期 防止 用 户 密码 过 期 。 建 议 "服务 "账户 启用 该 选项 ,并 且 应 使 用 强 密 砚 
we 允许 用 户 从 Apple 计算 机 登录 Windows 网 络 。 如 果 用 户 不 是 从 Appie 计算 
使 用 可 逆 加 密 存储 密码 | 机 登录 , 则 不 应 使 用 该 选项 
本 防止 用 户 使 用 选 定 的 账户 登录 。 许 多 管理 员 将 禁用 的 账户 用 作 公用 用 户 几 


户 的 模板 


交互 式 登录 必须 使 用 智 
能 卡 


要 求 用 户 拥有 智能 卡 来 交互 地 登录 网 络 。 用 户 还 必须 具有 连接 到 其 计算 机 
的 智能 卡 读 取 器 以 及 智能 卡 的 有 效 个 人 标识 号 (PIN)。 当 选择 该 选项 时 ,用 
户 账户 的 密码 将 被 自动 设置 为 随机 且 复 杂 的 值 ,并 设置 “密码 永 不 过 期 "选项 


信任 账户 作为 委派 


允许 在 该 账户 下 运行 的 服务 代表 网 络 中 的 其 他 用 户 账户 执行 操作 。 对 于 运 
行 在 受信 任 委派 的 用 户 账户 (也 称 为 服务 账户 ) 下 的 服务 ,可 以 模拟 客户 端 以 
获取 运行 该 服务 的 计算 机 或 其 他 计算 机 上 的 资源 的 访问 权 。 在 设置 为 
Windows Server 2003 功能 级 别 的 林 中 ,该 设置 位 于 “委派 "选项 卡 上 , 且 仅 对 
已 被 指派 了 服务 主体 名 称 (SPN) (在 Windows 支持 工具 中 使 用 setspn 命令 
设置 ) 的 账户 可 用 。 这 是 一 个 安全 敏感 的 功能 ,应 当 谨 慎 指 派 

该 选项 仅 可 用 于 运行 Windows Server 2003 的 域 控制 器 (其 中 域 功能 被 设置 
为 Windows 2000 混合 模式 或 Windows 2000 纯 模 式 )。 在 运行 Windows 
Server 2003 的 域 控 制 器 上 (其 中 域 功 能 级 别 被 设置 为 Windows Server 
2003) ,使 用 "委派 ”选项 卡 来 配置 委派 设置 。 仅 对 具有 已 指派 SPN 的 账户 ， 
才 显 示 “ 委 派 ” 选 项 卡 


敏感 账户 ,不 能 被 委派 


允许 对 用 户 账 户 进行 控制 ,例如 来 宾 账 户 或 临时 账户 。 如 果 该 账户 不 能 被 其 
他 用 户 账 户 指派 为 委派 ,就 可 以 使 用 该 选项 


此 账户 需要 使 用 DES 加 
密 类 型 


提供 对 数据 加 密 标 准 (DES) 的 支持 。DES 支持 多 级 加 密 , 包 括 MPPE 标准 
(40 位 )、MPPE 标准 (56 位 )、MPPE 强加 密 (128 位 )、IPSecDES(40 位 )、 
IPSec56 位 DES 以 及 IPSec 三 级 DES(3DES) 


不 要 求 Kerberos 预 身份 
验证 


支持 Kerberos 协议 的 备用 实现 。 运行 Windows 2000 或 Windows Server 
2003 的 域 控制 器 ,可 使 用 其 他 机 制 来 同步 时 间 。 由 于 预 身份 验证 提供 了 附 
加 安全 性 ,因此 在 启用 该 选项 的 时 候 要 小 心 


(4)“ 配 置 文件 ”选项 卡 

在 “配置 文件 ”选项 卡 中 ,可 以 设置 用 户 的 “配置 文件 路 径 ” 和 “ 主 文件 夹 ”路 径 , 如 图 9-105 
所 示 。 主 文件 夹 也 称 为 主 目录 ,是 分 配给 用 户 用 于 私人 用 途 的 文件 夹 。 虽然 应 用 程序 有 自 
己 默 认 的 文件 夹 存储 和 打开 文件 ,但 是 主 文件 夹 将 是 命令 行 下 用 户 的 默认 工作 文件 夹 。 可 
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以 为 用 户 的 主 文件 夹 指定 本 地 路 径 , 但 是 仅 有 当 用 户 在 本 地 登录 的 时 候 才 生效 。 对 于 从 网 
络 登 录 的 用 户 ,需要 选中 “连接 " 单 选 按钮 ,并 使 用 遵守 UNC 规则 的 网 络 路 径 , 文 件 夹 名 称 
支持 用 户 变 量 的 模式 ,如 %Username%。 ra 

当 为 用 户 指定 主 文件 夹 的 时 候 , 如 果 网 络 共 享 已 经 | 并 史 ln 


ee | cm 
课 规 | 地 址 | 帐户。 本 于 文件 | 电 笑 | 组 织 | 隶属 于 


存在 并 且 对 该 共享 具备 写 人 的 权限 ,服务 器 会 自动 创建 。 GE 


oj | 
该 用 户 的 主 文件 夹 。 ato [一 
(5) “隶属 于 ”选项 卡 | 


在 “隶属 于 "选项 卡 中 ,可 以 对 用 户 所 属 的 组 进行 设 “| 有 EEC 中 
置 ,如 图 9-106 所 示 。 单 击 “ 添 加 ”按钮 ,可 以 将 当前 用 户 
账户 添加 到 指定 组 中 ,同时 在 “隶属 于 ?列表 中 显示 该 组 
名 。 选 择 组 名 后 单 击 “ 删 除 ” 按 钮 , 即 可 将 账户 从 组 中 脱 
离 。 同 一 用 户 账 户 可 以 隶属 于 不 同 的 组 。 

(6)“ 环 境 ? 选 项 卡 

在 “环境 ?选项 卡 中 ,可 以 设置 用 户 登 录 终 端的 运行 图 9-105 “配置 文件 "选项 卡 
环境 ,替代 任何 可 能 已 经 在 用 户 的 客户 登录 设置 中 出 现 
的 相关 设置 ,如 图 9-107 所 示 。 如 果 希 望 在 登录 的 时 候 运 行 指定 的 程序 ,在 "程序 文件 名 " 文 
本 框 中 输入 可 执行 的 应 用 程序 的 文件 名 ,在 “开始 位 置 "文本 框 中 输入 应 用 程序 的 工作 目录 。 
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图 9-106 “隶属 于 ”选项 卡 图 9-107 “环境 "选项 卡 


在 “客户 端 设备 ”选项 区 域 中 包含 如 下 复 选 框 。 

“登录 时 连接 客户 端 驱 动 器 " 复 选 框 : 仅 作 用 于 启用 了 终端 服务 器 会 话 中 使 用 重新 映射 
的 客户 驱动 器 的 会 话 , 映 射 的 驱动 器 在 ”Windows 资源 管理 器 ?中 显示 为 “其 他 驱动 器 ”。 

@@ “登录 时 连接 客户 端 打印 机 ” 复 选 框 : 用 于 指定 任何 从 终端 服务 器 会 话 映射 的 打印 
机 都 应 该 被 重新 连接 。 

@@“ 将 默认 值 设 为 主客 户 端 打印 机 ” 复 选 框 : 用 于 指定 客户 端 应 该 使 用 的 是 本 地 的 默 
认 打 印 机 ,而 不 是 终端 服务 器 定义 的 打印 机 。 

3. 禁用 、 启 用 、 重 命名 和 删除 用 户 账户 

以 具有 管理 员 权 限 的 账户 登录 控制 器 ,打开 “Active Directory 用 户 和 计算 机 ”窗口 , 右 
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击 想 要 禁用 的 用 户 账 户 , 选 择 快捷 菜单 中 的 “禁用 账户 ?命令 即 可 将 其 禁用 ,如 图 9-108 
所 示 。 

用 户 账 户 被 禁用 以 后 , 便 不 能 再 登录 。 如 果 想 启用 用 户 账户 , 则 可 以 按照 相同 的 方法 ， 
选择 快捷 菜单 中 的 “启用 账户 ”命令 即 可 。 如 果 账 户 不 再 使 用 ,或 需要 重 设 所 有 权限 ,可 将 其 
删除 , 右 击 用 户 账户 名 ,并 选择 快捷 菜单 中 的 “删除 ”命令 即 可 删除 该 账户 。 

4. 重 置 口令 与 解除 锁定 用 户 账户 

在 域 环境 中 重 设 账户 密码 比较 简单 。 使 用 具有 相关 权限 的 管理 员 账 户 登录 到 域 控 制 
器 ,打开 “Active Directory 用 户 和 计算 机 ”窗口 。 选 择 Users 选项 , 右 击 想 要 重 置 密码 的 用 
户 账户 ,选择 快捷 菜单 中 的 * 重 置 密码 ”命令 ,显示 图 9-109 所 示 的 “ 重 置 密码 ”对 话 框 ,在 “新 
密码 ”和 “确认 密码 "文本 框 中 输入 新 密码 , 单 击 “ 确 定 ” 按 钮 即 可 。 使 用 这 种 方法 ,也 可 以 重 
设 管理 员 账 户 的 密码 。 
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图 9-108 禁用 域 用 户 账户 图 9-109 “ 重 置 密码 ”对话 框 


如 果 当 前 账户 已 被 锁定 , 则 可 以 选中 “解锁 用 户 的 账户 " 复 选 框 ,使 密码 更 改 立 即 生 效 。 
系统 默认 配置 的 安全 策略 ,可 能 会 限制 用 户 更 改 密码 的 次 数 或 登录 次 数 , 如 果 超 出 策略 限 
制 , 则 立即 锁定 账户 ,并 等 待 一 定时 间 后 自动 解锁 。 此 时 ,对 应 用 户 可 以 告知 管理 员 , 由 管理 
员 登 录 到 域 控制 器 ,为 其 重 设 密码 并 解锁 账户 。 


9.5.2 组 的 管理 


域 中 的 组 可 以 包含 用 户 、 计 算 机、 联系 人 、 组 等 目录 对 象 ,基本 管理 任务 包括 创建 与 删除 
组 ,设置 组 管理 员 、 更 改组 类 型 和 作用 域 .设置 组 访问 权限 等 。 

1. 创建 组 

在 域 中 ,只 有 拥有 管理 员 权 限 ,或 者 被 委派 了 相关 权限 的 用 户 账户 , 才 可 以 登录 到 域 控 
制 器 创建 组 。 

打开 “Active Directory 用 户 和 计算 机 ?窗口 ,选择 新 建 组 所 在 的 OU 或 容器 ,在 窗口 空 
白 处 右 击 ,选择 快捷 菜单 中 的 “新 建 ”一 "组 ”命令 ,显示 图 9-110 所 示 的 “新 建 对 象 - 组 ”对话 
框 。 在 “组 名 "文本 框 中 ,输入 需要 新 建 组 的 名 称 , 如 : student; 在 “组 名 (Windows 2000 以 
前 版 本 ) "文本 框 中 ,系统 自动 完成 对 应 的 组 名 ; 在 “组 作用 域 " 选 项 区 域 中 选中 “全 局 " 单 选 
按钮 ; 在 “组 类 型 "选项 区 域 中 选中 “安全 组 ” 单 选 按钮 。 单 击 “ 确 定 ” 按 钮 ,完成 安全 用 户 组 


第 g 章 “网 络 协议 和 资源 管理 


的 创建 。 

2. 为 组 指定 管理 员 

组 管理 员 只 是 针对 域 用 户 组 而 言 的 ,独立 服务 器 不 具有 此 功能 。 在 独立 服务 器 系统 中 ， 
只 有 管理 员 账 户 可 以 管理 所 有 用 户 组 ,如 更 新 成 员 列表 、 更 改 账户 权限 等 。 而 在 域 中 ,可 以 
为 组 指定 特定 的 管理 者 ,使 其 可 以 完成 组 中 成 员 的 某 些 工作 ,如 权限 委派 等 。 需 要 注意 的 
是 ,默认 情况 下 ,指定 组 管理 员 后 ,其 他 任何 用 户 甚至 管理 员 都 将 无 法 管理 该 组 。 

(1) 打开 “Active Directory 用 户 和 计算 机 ”控制 台 ,选择 要 指定 管理 员 的 组 ,如 coolpen， 
右 击 并 选择 快捷 菜单 中 的 “属性 ”命令 ,显示 “coolpen 属性 ”对 话 框 ,选择 图 9-111 所 示 的 “ 管 
理 者 ”选项 卡 。 


La 
有 现成 页 | 亨 属 于 利 理 着 | 
王 - 
i | 
rr 
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J 
电话 导 友 (TD) 
本 不 号 码 下) 
[本 ww | saw 
图 9-110 “新 建 对 象 - 组 "对 话 框 图 9-111 “管理 者 "选项 卡 


(2) 单 击 “更 改 " 按 钮 ,显示 图 9-112 所 示 的 “选择 用 户 、 联 系 人 或 组 ”对 话 框 。 在 “输入 
要 选择 的 对 象 名 称 ( 例 如 ) "文本 框 中 ,输入 要 指派 的 管理 者 的 用 户 名 或 组 名 。 需 要 注意 的 
是 ,这 里 只 能 选择 一 个 管理 者 。 

(3) 单 击 * 确 定 ? 按 钮 ,返回 “管理 者 "选项 卡 ,在 名称" 文本 框 中 ,显示 了 所 添加 的 管理 
者 用 户 名 称 , 如 图 9-113 所 示 。 如 果 要 清除 管理 者 用 户 账户 , 单 击 " 清 除 ” 按 钮 即 可 。 


[| 
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厂 管理 员 可 以 更 新 成 员 列 表 中) 
办 公 室 中 )， 
了 人 
Ms 
a 2 = 
| 国 
输入 要 造反 | 象 名 称 Eg) E) OO 
Be 禄 本 名 称 上 ) 电 活 码 0T): 
传真 呈 码 0: 
ET | na | CD | nw 
图 9-112 “选择 用 户 .联系 人 或 组 ”对 话 框 图 9-113 已 指定 管理 者 


小 知识 : 默认 情况 下 ,“ 管 理 员 可 以 更 新 成 员 列 表 ” 复 选 框 没有 被 选中 ,表示 只 有 被 指定 
的 管理 者 才能 管理 该 组 ,即使 是 域 管理 员 也 无 此 权限 。 如 果 选 中 该 复 选 框 , 则 允许 管理 员 账 
户 更 新 组 成 员 列 表 。 
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(4) 单 击 “ 确 定 ”按钮 .完成 组 的 管理 者 的 指派 。 

3. 更 改组 作用 域 或 组 类 型 

组 作用 域 直接 决定 组 中 账户 的 应 用 范围 ,而 组 类 型 则 决定 用 户 账户 可 以 行使 的 功能 。 
应 用 过 程 中 ,管理 员 可 以 根据 需要 更 改 域 用 户 组 的 作用 域 和 类 型 。Windows Server 2008 
R2 系统 的 默认 域 功 能 级 别 为 Windows Server 2003 ,并 且 已 经 删除 了 Windows 2000 混合 
模式 ,所 以 可 以 直接 更 改 。 

打开 “Active Directory 用 户 和 计算 机 ?控制 台 , 双 击 欲 更 改 的 用 户 组 (以 coolpen 组 为 
例 ) ,显示 图 9-114 所 示 的 “coolpen 属性 ”对 话 框 ,在 “常规 ”选项 卡 的 “组 作用 域 " 和 “组 类 型 ” 
选项 区 域 ,重新 选中 指定 的 单 选 按 钮 即 可 。 

4. 删除 组 

在 “Active Directory 用 户 和 计算 机 ”窗口 中 , 右 击 要 删除 的 组 并 选择 快捷 菜单 中 的 “ 删 
除 ” 命 令 , 即 可 删除 该 组 。 需 要 注意 的 是 , 随 着 用 户 组 的 删除 ,通过 该 组 所 赋予 成 员 账户 的 权 
限 也 会 被 删除 ,但 组 内 的 成 员 不 会 被 删除 。 

5. 授予 组 访问 权限 

在 *A-G-DL-P” 规 划 原则 中 ,授权 是 最 后 一 步 。 所 谓 “ 授 权 ” 是 指 根据 用 户 身份 授予 用 户 
账户 访问 网 络 资源 的 权限 ,例如 读 取 、 更 改 、 完 全 控制 等 。 以 software 共享 文件 夹 为 例 , 设 
置 coolpen 组 的 访问 权限 。 

(1) 右 击 software 文件 夹 ,在 快捷 菜单 中 选择 “属性 ”命令 ,显示 “software 属性 ”对 话 
框 ,选择 “共享 ”选项 卡 。 

(2) 单 击 “ 高 级 共享 "按钮 ,显示 图 9-115 所 示 的 “高 级 共享 "对话 框 。 在 “共享 名 ”文本 
框 中 ,可 以 设置 当前 共享 文件 夹 的 共享 名 。 
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图 9-114 “coolpen 属性 ”对 话 框 图 9-115 “高 级 共享 "对 话 框 
(3) 单 击 “ 权 限 ” 按 钮 ,显示 “software 的 权限 ?对 话 框 。 目 前 ,Everyone 组 拥有 该 共享 文 
件 夹 的 读 取 权限 。 


(4) 单 击 “ 添 加 ”按钮 ,显示 图 9-116 所 示 的 “选择 用 户 、 计 算 机 、 服 务 账 户 或 组 ”对 话 框 ， 


在 “输入 对 象 名 称 来 选择 (示例 )" 文 本 框 中 ,输入 coolpen, 单 击 “ 检 查 名 称 ” 按 钮 验证 输入 是 
否 正确 。 
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(5) 单 击 “ 确 定 ” 按 钮 ,将 coolpen 组 添加 到 “组 或 用 户 名 ”列表 中 ,如 图 9-117 所 示 。 选 
中 该 组 ,可 以 在 “coolpen 的 权限 ?列表 中 设置 其 访问 权限 。 
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图 9-116 “选择 用 户 .计算 机 、 服 务 账 户 或 组 "对 话 框 图 9-117 授予 coolpen 组 访问 权限 


(6) 连续 单 击 “ 确 定 ” 按 钮 ,完成 coolpen 组 访问 权限 的 授权 。 
9.5.3 ”知识 链接 ;用户 账户 与 组 概述 


1， 用 户 账户 概述 

用 户 账户 可 以 分 为 两 种 类 型 : 本 地 用 户 账户 和 域 用 户 账户 。“ 本 地 用 户 账户 ”只 能 用 于 
登录 和 管理 本 地 计算 机 ;“ 域 用 户 账户 ”可 以 登录 到 域 并 使 用 域 管理 员 允 许 其 访问 的 所 有 网 
络 资源 。 下 面 主要 介绍 域 用 户 账户 的 管理 。 

(1) 用 户 账 户 类 型 

在 Active Directory 中 , 域 用 户 账户 可 以 分 为 以 下 几 种 身份 : 标准 域 用 户 账户 、 域 管理 
员 账 户 ,企业 管理 员 账 户 。 

@ 标准 域 用 户 账户 。 标 准 域 用 户 账户 是 域 中 应 用 最 多 的 用 户 账户 ,对 应 于 网 络 中 的 所 
有 用 户 。 默 认 创建 的 域 用 户 账户 将 被 添加 到 “Users? 组 中 。 在 不 同 的 OU 中 创建 的 标准 域 
用 户 账 户 性 质 相 同 ,使 用 同一 个 默认 的 密码 策略 。 标 准 域 用 户 账户 可 以 被 添加 到 不 同 的 组 
中 ,但 是 只 能 在 一 个 OU 中 。 

@ 域 管理 员 账 户 。 域 管理 员 账 户 是 具备 管理 权限 的 特殊 用 户 账户 。AD DS 域 服务 部 
署 完成 后 ,默认 的 域 管理 员 账 户 为 Administrator。 域 管理 员 账 户 拥有 网 络 中 较 高 的 权限 ， 
拥有 管理 员 权限 ,也 就 相当 于 基本 拥有 了 整个 网 络 的 完全 控制 权 。 

@ 企业 管理 员 账 户 。 在 Active Directory 中 ,具备 最 高 管理 权限 的 用 户 账户 不 是 
Administrators 和 Domain Admins 组 中 的 成 员 , 而 是 Enterprise Admins 组 中 的 成 员 。 默 
认 的 管理 员 账 户 Administrator 是 Enterprise Admins 组 中 的 成 员 ,也 是 唯一 的 成 员 。 因 此 ， 
默认 的 管理 员 账 户 Administrator 具备 企业 的 最 高 管理 权限 。 正 是 由 于 Windows 系统 的 这 
一 默认 设置 ,使 得 Administrator 成 为 黑客 攻击 的 首要 对 象 。 建 议 将 Administrator 管理 员 
账户 降级 为 普通 的 用 户 ,使 其 具备 最 低 的 权限 ,禁止 或 者 重 命名 此 账户 。 创 建 一 个 新 的 账 
户 ,使 其 具备 Active Directory 中 最 高 的 管理 权限 。 
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(2) 用 户 账户 的 功能 

当 网 络 中 的 用 户 需要 通过 自己 的 计算 机 登录 到 域 时 ,其 必须 有 一 张 被 域 控制 器 认可 的 
“身份 证 ”, 这 张 身份 证 在 域 中 就 是 用 户 账户 。 在 域 中 创建 和 管理 用 户 的 操作 必须 在 域 控制 
器 中 进行 。 用户 账户 主要 有 如 下 功能 。 

@ 验证 用 户 或 计算 机 的 身份 : 用 户 能 够 利用 经 域 验 证 后 的 标识 登录 到 计算 机 和 域 。 
登录 到 网 络 的 每 个 用 户 应 有 自己 的 唯一 账户 和 密码 。 为 了 获得 最 高 的 安全 性 ,应 避免 多 个 
用 户 共享 同一 个 账户 。 

@ 授权 或 拒绝 访问 域 资源 : 一 旦 用 户 已 经 通过 身份 验证 ,那么 就 可 以 根据 指派 给 该 用 
户 的 关于 资源 的 显 式 权 限 ,授予 或 拒绝 该 用 户 访问 域 资 源 。 

@ 管理 其 他 用 户 : 在 本 地 域 中 可 以 使 用 委派 控制 ,允许 对 某 个 用 户 进行 单独 的 权限 委 
派 , 例 如 ,使 某 个 用 户 具 备 更 改 其 他 用 户 密码 的 权限 。 

@ 审核 使 用 用 户 或 计算 机 账户 执行 的 操作 : 审核 有 助 于 监视 账户 的 安全 性 。 

(3) 命名 惯例 

在 企业 网 络 中 ,除了 每 个 人 有 一 个 用 户外 ,还 可 能 有 为 此 用 户 对 应 提供 的 一 些 服务 ,如 
企业 电子 邮件 服务 .企业 办 公 自 动 化 的 登录 账户 等 。 为 了 便于 管理 ,建议 使 用 统一 的 方式 进 
行 命名 ,一 是 让 计算 机 的 使 用 者 记 住 自己 的 用 户 名 ; 另外 ,通常 用 户 名 还 与 企业 为 其 提供 的 
电子 邮件 相对 应 。 域 用 户 账户 命名 管理 规则 如 下 。 

Q@ 对 于 每 个 使 用 者 ,通常 都 是 使 用 其 “ 姓 ” 的 全 称 加 上 “名 ”的 简称 作为 账户 名 ,例如 , 刘 
晓 辉 的 用 户 账户 名 为 liuxh。 

@ 如 果 使 用 简称 之 后 有 “ 重 名 ”的 现象 ,可 以 对 重 名 的 用 户 使 用 全 称 或 者 加 序号 标识 ， 
例如 liuxh01。 

(4) 密码 要 求 

密码 是 用 户 登 录 网 络 的 钥匙 ,密码 是 否 安全 直接 影响 到 用 户 的 信息 是 否 安全 。 账 户 密 
码 应 当 定期 修改 ,尤其 是 当 发 现 有 不 良 攻击 时 ,更 应 及 时 修改 为 复杂 密码 ,以 免 被 破解 。 为 
避免 密码 因 过 于 复杂 而 忘记 ,可 用 笔记 录 下 来 ,并 保存 在 安全 的 地 方 ,或 随身 携带 避免 丢失 。 

综 上 所 述 , 若 欲 保证 密码 的 安全 ,应当 遵 循 以 下 规则 。 

Q@ 用 户 密码 应 包含 英文 字母 的 大 小 写 、 数 字 、 可 打印 字符 ,甚至 是 非 打印 字符 。 建 议 将 
这 些 符号 排列 组 合 使 用 ,以 期 达到 最 好 的 保密 效果 。 

@ 用 户 密码 不 要 太 规 则 ,不 要 使 用 用 户 姓 名 、 生 日 、 电 话 号 码 以 及 常用 单词 作为 密码 。 

@ 根据 Windows 系统 密码 的 散 列 算法 原理 ,密码 长 度 设置 应 超过 7 位 ,最 好 位 数 为 14 
位 或 者 更 长 。 

@ 密码 不 得 以 明文 方式 存放 在 系统 中 ,确保 密码 以 加 密 的 形式 写 在 硬盘 中 , 且 包含 密 
码 的 文件 是 只 读 的 。 

@ 密码 应 定期 修改 ,上 且 避免 重复 使 用 旧 密 码 ,应 采用 多 套 密码 的 命名 规则 。 

@ 启用 账户 锁定 机 制 。 一 旦 同一 账户 密码 校 验 错误 若干 次 即 断 开 连 接 并 锁定 该 账户 ， 
经 过 一 段 时 间 才 解锁 。 

Windows Server 2008 和 Windows Server 2008 R2 对 更 改 密码 的 要 求 非常 严格 。 默 认 
情况 下 密码 策略 要 求 如 下 。 

中 密码 必须 符合 复杂 性 要 求 。 
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@ 密码 长 度 至 少 为 7 个 字符 。 

@ 密码 最 短 使 用 时 间 为 1 天 。 

@ 密码 最 长 使 用 期 限 为 42 天 。 

@@ 不 得 使 用 历史 密码 ,默认 记录 24 个 历史 密码 。 

2. 组 概述 

域 中 的 组 有 多 种 类 型 ,并 且 可 以 根据 需要 设置 组 的 作用 域 。 不 同类 型 和 作用 域 的 组 ,其 
成 员 属 性 设置 也 会 有 所 不 同 。 

(1) 组 类 型 

在 Active Directory 中 有 两 种 类 型 的 组 : 通信 组 和 安全 组 。 使 用 通信 组 可 以 创建 电子 
邮件 通信 组 列表 ; 使 用 安全 组 则 可 给 共享 资源 指派 权限 。 组 有 以 下 特点 。 

对 组 设置 的 权限 将 自动 应 用 到 组 中 的 所 有 对 象 上 ,可 以 大 大 简化 管理 员 的 工作 。 
组 可 以 位 于 Active Directory 中 ,也 可 以 位 于 本 地 的 独立 计算 机 中 。 

组 属性 由 作用 域 和 类 型 决定 。 

可 以 嵌 套 , 即 可 以 将 一 个 组 添加 到 另 一 个 组 中 。 

QO 通信 组 。 在 电子 邮件 应 用 程序 中 ,管理 员 可 以 使 用 “通信 组 ”将 电子 邮件 同时 发 送 给 
一 组 用 户 。 通 信 组 不 使 用 Windows Server 的 安全 机 制 ,但 是 可 以 在 "对象 访问 控制 列表 ”中 
出 现 。 如 果 需 要 使 用 组 来 控制 对 共享 资源 的 访问 , 则 需要 使 用 安全 组 。 

@ 安全 组 。 安 全 组 提供 了 一 种 有 效 的 方式 来 指派 对 网 络 上 资源 的 访问 权 。 与 通信 组 
不 同 ,安全 组 可 以 使 用 Windows Server 的 安全 机 制 , 并 且 可 以 根据 需要 添加 到 随机 访问 控 
制 列表 中 。 使 用 安全 组 ,可 以 带 来 以 下 的 功能 方面 的 安全 性 。 

。 将 用 户 权利 指派 到 Active Directory 中 的 安全 组 。 管 理 员 可 以 对 安全 组 指派 用 户 权 

利 ,以 确定 该 组 的 哪些 成 员 可 在 域 (或 林 ) 作 用 域内 工作 。 在 安装 Active Directory 时 ， 
系统 会 自动 将 用 户 权 利 指派 给 某 些 安全 组 ,以 帮助 管理 员 定 义 域 中 人 员 的 管理 角色 ， 
例如 ,在 Active Directory 中 ,被 添加 到 Backup Operators 组 的 用 户 , 能 够 备份 和 还 原 域 
中 每 个 域 控 制 器 上 的 文件 和 文件 夹 。 因 为 在 默认 情况 下 ,系统 已 经 将 备份 和 还 原 目 录 
的 用 户 权 利 自动 指派 给 Backup Operators 组 ,组 中 的 用 户 继 承 该 组 的 用 户 权利 设置 。 
可 以 使 用 组 策略 将 用 户 权 利 指派 给 安全 组 ,以 帮助 委派 特定 任务 。 在 指派 委派 的 任务 
时 应 始终 谨慎 操作 ,避免 为 非 必要 用 户 指派 过 高 的 权利 ,以 免 产 生 安全 隐患 。 
给 安全 组 指派 对 资源 的 权限 。 用 户 权 利和 权限 不 应 混淆 。 对 共享 资源 的 权限 将 指 
派 给 安全 组 。 权 限 决定 了 哪些 用 户 可 以 访问 该 资源 以 及 访问 的 级 别 , 例 如 ,是 读 取 
还 是 完全 控制 。 系 统 将 自动 指派 域 对 象 的 某 些 权限 ,以 允许 对 默认 安全 组 (例如 
Account Operators 组 或 Domain Admins 组 ) 进 行 多 级 别 的 访问 。 在 定义 对 资源 和 
对 象 的 权限 的 ACL 中 列 出 了 安全 组 。 为 资源 指派 权限 时 ,管理 员 应 将 权限 指派 给 
安全 组 而 非 单个 用 户 。 权 限 可 以 直接 指派 到 组 ,而 不 是 逐个 指派 给 组 中 单独 的 用 
户 。 添 加 到 组 的 每 个 账户 ,都 将 接受 在 Active Directory 中 指派 给 该 组 的 权利 ,以 及 
在 资源 上 为 该 组 定义 的 权限 。 

@ 安全 组 和 通信 组 之 间 的 转换 。 域 功能 级 别 设置 为 Windows Server 2003、Windows 
Server 2008 或 Windows Server 2008 R2 模式 时 ,管理 员 可 以 将 安全 组 转换 为 通信 组 ,反之 
亦 然 。 在 Windows Server 2003 系统 中 , 域 功 能 级 别 还 包括 Windows 2000 混合 模式 ,设置 
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为 域 功能 级 别 时 ,安全 组 和 通信 组 之 间 不 能 转换 。 

(2) 组 作用 域 

组 的 作用 域 决定 了 组 的 作用 范围 .组 中 可 以 拥有 的 成 员 以 及 组 之 间 的 嵌 套 关系 。 在 
Windows Server 2008 域 模式 下 组 有 3 种 组 作用 域 : 全 局 、 本 地 域 和 通用 。 

。 通用 组 的 成 员 : 可 以 包括 域 树 或 林 中 任何 域 中 的 其 他 组 和 账户 ,而 且 可 在 该 域 树 或 
林 中 的 任何 域 中 指派 权限 。 

。 全 局 组 的 成 员 : 可 以 包括 只 在 其 中 定义 该 组 的 域 中 的 其 他 组 和 账户 ,而 且 可 在 林 中 
的 任何 域 中 指派 权限 。 

。 本 地 域 组 的 成 员 : 可 以 包括 Windows Server 2008 R2、Windows Server 2008、 
Windows Server 2003、Windows 2000 域 中 的 其 他 组 和 账户 , 且 只 能 在 域内 指派 
权限 。 

@ 本 地 域 组 。 具 有 本 地 域 作用 域 的 组 将 帮助 定义 和 管理 对 单个 域内 资源 的 访问 。 这 

些 组 可 将 以 下 组 或 账户 作为 其 成 员 。 
。 具有 全 局 作用 域 的 组 。 
。 具有 通用 作用 域 的 组 。 
。 上 账户。 
。 具有 本 地 域 作用 域 的 其 他 组 。 
。 上 面 任意 组 的 组 合 。 
@ 全 局 组 。 所 谓 “ 全 局 ”就 是 指 整 个 域 ,此 类 组 属于 某 个 指定 域 ,但 作用 域 确 是 整个 森 
林 。 全 局 组 的 成 员 只 能 是 在 本 地 的 域 中 ,可 以 访问 在 森林 任何 域 里 的 资源 。 全 局 组 只 能 放 
置 在 同一 个 域 中 的 资源 对 象 安全 描述 符 中 , 即 不 能 只 是 基于 另 一 个 域 的 全 局 组 用 户 成 员 身 
份 ,而 限制 对 相应 对 象 的 访问 。 在 用 户 登录 到 一 个 域 时 ,用 户 的 全 局 组 成 员 身 份 将 被 评估 。 
因为 全 局 组 成 员 身份 是 以 域 为 中 心 的 ,所 以 全 局 组 成 员 身 份 的 更 改 不 会 强行 复制 到 整个 企 
业 范 围 的 全 局 编 录 中 。 在 “本 机 模式 ” 域 中 .全 局 组 可 相互 嵌 套 。 

管理 员 只 能 在 创建 该 全 局 组 的 域 上 进行 添加 用 户 账 户 和 全 局 组 ,而 且 全 局 组 可 以 嵌 套 
在 其 他 组 中 。 可 以 将 某 个 全 局 组 添加 到 同一 个 域 上 的 另 一 个 全 局 组 中 ,或 添加 到 其 他 信任 
域 的 通用 组 和 本 地 域 组 中 (不 能 加 入 到 不 同 域 的 全 局 组 中 ,全 局 组 只 能 在 创建 它 的 域 中 添加 
用 户 和 组 )。 虽 然 可 以 利用 全 局 组 授予 访问 任何 域 上 的 资源 的 权限 ,但 一 般 不 直接 用 它 进 行 
权限 管理 。 

@ 通用 组 。 使 用 具有 通用 作用 域 的 组 可 以 合并 跨越 不 同 域 的 组 ,所 以 ,可 以 将 账户 添 

加 到 具有 全 局 作用 域 的 组 ,并且 将 这 些 组 租 套 在 具有 通用 作用 域 的 组 内 。 使 用 该 策略 ,对 具 
有 全 局 作用 域 的 组 中 的 任何 成 员 身 份 的 更 改 都 不 影响 具有 通用 作用 域 的 组 。 

具有 通用 作用 域 的 组 成 员 身 份 不 应 频繁 更 改 , 因 为 对 这 些 组 成 员 身 份 的 任何 更 改 都 将 

引起 整个 组 的 成 员 身份 复制 到 树林 中 的 每 个 全 局 编 录 中 。 

@ 更 改组 作用 域 。 在 默认 情况 下 .新建 组 将 被 配置 为 具有 全 局 作用 域 的 安全 组 ,而 与 当 

前 域 功 能 级 别 无 关 。 在 Windows Server 2008 R2 系统 的 域 中 ,人 允许 对 组 作用 域 进行 如 下 转换 。 

。 全 局 到 通用 。 只 有 当 要 更 改 的 组 不 是 另 一 个 全 局 作用 域 组 的 成 员 时 , 才 允 许 进行 该 
转换 。 

。 本 地 域 到 通用 。 只 有 当 要 更 改 的 组 没有 另 一 个 本 地 域 组 作为 其 成 员 时 , 才 允 许 进 行 
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该 转换 。 

。 通用 到 全 局 。 只 有 当 要 更 改 的 组 没有 另 一 个 通用 组 作为 其 成 员 时 , 才 允 许 进 行 该 

转换 。 

。 通用 到 本 地 域 。 该 操作 没有 限制 。 

(3) 组 设计 原则 

域 中 的 组 有 多 种 类 型 ,并 且 根 据 作 用 域 的 不 同 , 其 功能 也 会 有 所 不 同 。 因 此 ,应 用 组 管 
理 目录 对 象 之 前 ,必须 经 过 严格 的 规划 和 设计 。 组 的 基本 属性 就 是 所 包含 对 象 具 有 的 基本 
属性 ,例如 同属 某 一 部 门 或 同 在 某 一 地 区 的 用 户 、 某 一 部 门 的 计算 机 、 网 络 中 的 打印 机 等 具 
有 相同 的 属性 。 除 此 之 外 ,设计 组 的 过 程 中 还 应 遵循 “A-G-DL-P” 原 则 。 

QA: 建立 一 个 “全 局 组 ”, 然 后 将 具备 相同 权限 的 用 户 账户 加 入 到 此 组 内 ,例如 ,将 教 
务 处 内 所 有 教务 员 账 户 加 入 到 一 个 称 为 TEACH 的 “全 局 组 ”内 。 

@ G: 建立 一 个 “本 地 域 组 ”, 可 以 设置 让 此 组 对 某 些 资源 具备 适当 的 权限 ,例如 教务 处 
的 激光 打印 机 只 能 提供 某 些 用 户 来 使 用 , 则 可 以 建立 一 个 PRINTER 的 “本 地 域 组 ”。 

@ DL: 将 所 有 即将 拥有 权限 访问 此 资源 的 “全 局 组 ”加 入 到 “本 地 域 组 ”内 ,例如 将 
TEACH" 全 局 组 ”加 入 到 此 本 域 组 内 。 

@P: 指定 适当 的 权限 给 此 “本 地 域 组 ”, 例 如 ,给 予 PRINTER"* 本 地 域 组 ”对 此 激光 打 
印 机 具备 打印 的 权限 。 

以 上 4 个 步 又 称 为 *A-G-DL-P" 原 则 。 简 言 之 ,就 是 将 用 户 账户 加 入 到 “全 局 组 ”内 ,将 
此 “全 局 组 ”加 入 到 “本 地 域 组 ”内 ,指派 适当 的 权限 给 此 “本 地 域 组 ”。 

提示 : A: Account, 用 户 账户 ; G: Global Group, 全 局 组 ; DL: Domain Local Group， 
域 本 地 组 ; P: Permissions ,授权 。 

例如 , 某 公 司 的 网 络 中 有 两 个 域 : coolpen. net 和 hsnc. cn。 

coolpen. net 域 中 的 5 个 用 户 和 hsnc. cn 域 中 的 3 个 用 户 都 需要 访问 hsnc. cn 域 中 的 
software 文件 夹 。 

下 面 以 两 种 方式 进行 组 的 规划 。 

QO 无 原则 规划 。 可 以 在 hsnc. cn 域 中 建 一 个 “本 地 域 组 ”, 因 为 “本 地 域 组 ”的 成 员 可 以 
来 自 所 有 的 域 ,然后 把 这 8 个 用 户 都 加 入 这 个 “本 地 域 组 ”, 并 把 software 文件 夹 的 访问 权 
赋 给 “本 地 域 组 ”。 

这 种 规划 方式 的 缺点 : 因为 DL 是 在 hsnc. cn 域 中 ,所 以 ,管理 权 也 在 hsnc. cn 域 。 如 
果 coolpen. net 域 中 的 5 个 用 户 变 成 6 个 用 户 , 只 能 是 coolpen. net 域 管理 员 通知 hsnc. cn 
域 管理 员 ,将 “本 地 域 组 ”的 成 员 做 一 下 修改 ,hsnc. cn 域 的 管理 员 没 有 管理 的 权利 。 

@ 按照 A-G-DL-P 原则 规划 。 在 coolpen. net 域 和 hsnc. cn 域 中 都 各 建立 一 个 “全 局 
组 ”(G) ,然后 在 hsnc. cn 域 中 建立 一 个 “本 地 域 组 ”把 这 两 个 “全 局 组 ”都 加 入 hsnc. cn 域 中 
的 “本 地 域 组 ”中 ,然后 把 software 文件 夹 的 访问 权 赋 给 “本 地 域 组 ”。 两 个 “全 局 组 ”都 有 权 
访问 software 文件 夹 。 

这 种 规划 方式 的 优点 : 组 嵌 套 造成 权限 继承 。 两 个 “全 局 组 ”分 布 在 coolpen. net 域 和 
hsnc. cn 域 中 ,也 就 是 coolpen. net 域 和 hsnc. cn 域 的 管理 员 都 可 以 自己 管理 自己 的 “全 局 
组 ”, 只 要 把 那 5 个 用 户 和 3 个 用 户 分 别 加 入 “全 局 组 ”中 ,就 可 以 管理 对 software 文件 夹 的 
访问 。 如 果 需 要 添加 用 户 或 者 做 其 他 任何 修改 ,由 域 的 管理 员 独立 完成 。 
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习题 


1. 简 述 Sniffer 的 功能 。 

2. 简 述 IPMaster 的 功能 。 

3， 简 述 域 用 户 账 户 类 型 。 

4. 域 用 户 账 户 有 哪些 功能 ? 

5. Windows Server 2008 的 默认 密码 策略 有 哪些 ? 


实验 : 创建 并 访问 共享 文件 夹 


实验 目的 : 

掌握 共享 文件 夹 的 创建 与 访问 方法 。 

实验 内 容 : 

通过 不 同方 法 设置 共享 文件 夹 , 使 用 不 同方 法 访问 共享 文件 夹 。 
实验 步骤 : 

(1) 在 文件 服务 器 中 设置 共享 文件 夹 sharel 。 

(2) 在 资源 管理 器 中 设置 共享 文件 夹 share2。 

(3) 在 控制 台 树 中 设置 共享 文件 夹 share3。 

(4) 使 用 不 同方 法 访问 共享 文件 夹 。 


随 着 计算 机 网 络 的 不 断 发 展 ,全 球 信息 化 已 成 为 人 类 发 展 的 大 趋势 。 但 由 于 计算 机 网 
络 具 有 连接 形式 多 样 性 、 终 端 分 布 不 均匀 性 和 网 络 的 开放 性 、 互 联 性 等 特征 ,致使 网 络 容易 
受到 来 自 黑客 、 恶 意 软 件 和 其 他 种 种 攻击 ,从 而 使 网 上 信息 安全 成 为 一 个 令 人 头痛 的 问题 ， 
因此 ,排除 自然 和 人 为 等 诸多 因素 造成 的 网 络 脆弱 性 和 潜在 威胁 ,确保 网 络 信 息 的 保密 性 、 
完整 性 和 可 用 性 ,成 为 网 络 管理 员 要 做 的 头等 大 事 。 


10.1 网 络 安全 规划 


没有 安全 意识 的 管理 员 是 无 法 保证 网 络 安全 的 ,因此 ,作为 管理 员 需 要 对 网 络 的 不 同 部 
分 分 别 进行 安全 设计 ,包括 网 络 设备 安全 规划 、 网 络 安全 设备 规划 、 客 户 端 安全 规划 。 


10.1.1 网 络 设备 安全 规划 


交换 机 和 路 由 器 是 几乎 所 有 局 域 网 络 都 要 使 用 的 基本 设备 。 交 换 机 将 其 他 网 络 设备 (如 
集线器 ,交换 机 和 路 由 器 等 ) 和 所 有 终端 设备 (如 计算 机 、 服 务 器 和 网 络 打 印 机 等 ) 连 接 在 一 起 ， 
实现 彼此 之 间 的 通信 ; 路 由 器 用 于 实现 局 域 网 之 间 , 以 及 局 域 网 与 Internet 之 间 的 互联 。 

1. 交换 机 安全 规划 

交换 机 是 搭建 局 域 网 络 时 不 可 或 缺 的 集 线 设备 ,其 主要 功能 就 是 连接 设备 和 隔离 网 络 
中 的 碰撞 。 

(1) 风暴 控制 

当 端口 接收 到 大 量 的 广播 .多 播 或 单 播 包 时 ,就 会 发 生 广播 风暴 。 转 发 这 些 包 将 导致 网 
络 速度 变 慢 或 超时 。 借 助 对 端口 的 广播 风暴 控制 ,可 以 有 效 地 避免 因 硬件 损坏 或 链 路 故障 
而 导致 的 网 络 瘫痪 。 默 认 状 态 下 ,广播 .多 播 或 单 播 包 风暴 控制 被 禁用 。 

(2) 流 控制 

流 控制 只 适用 于 1000Base-T、1000Base-SX 和 GBIC 端口 。 在 千 兆 端口 启用 流 控制 后 ， 
可 以 在 拥塞 期 间 暂 停 其 他 终端 的 连接 。 当 端口 处 于 拥塞 状态 无 法 接收 到 数据 流 时 ,将 通知 
其 他 端口 暂停 发 送 , 直 到 恢复 正常 状态 。 当 本 地 设备 发 现任 何 终端 发 生 拥塞 时 ,将 发 送 一 个 
暂停 帧 ,以 通知 其 连接 伙伴 或 远 端 拥塞 设备 。 当 收 到 暂停 帧 后 ,远程 设备 将 停止 发 送 任何 数 
据 包 , 以 防止 在 拥塞 期 内 丢失 任何 数据 包 。 

注意 : 当 交 换 机 配置 有 QoS(Quality of Service) 时 ,不 要 再 配置 IEEE 802. 3X 流 控制 。 
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(3) 保护 端口 

保护 端口 (Protected Port) 可 以 确保 同一 交换 机 上 的 指定 端口 之 间 不 进行 通信 。 保 护 
端口 不 向 其 他 保护 端口 转发 任何 传输 ,包括 单 播 .多 播 和 广播 包 。 传 输 不 能 在 第 二 层 保护 端 
口 间 进 行 ,所 有 保护 端口 间 的 传输 都 必须 通过 第 三 层 设备 转发 。 保 护 端 口 与 非 保护 端口 间 
的 传输 不 受 任何 影响 。 

(4) 安全 端口 

借助 安全 端口 可 以 只 允许 指定 的 MAC 地 址 或 指定 数量 的 MAC 地 址 访问 某 个 端口 ， 
从 而 避免 未 经 授权 的 计算 机 接 人 网 络 ,或 限制 某 个 端口 所 连接 的 计算 机 数量 ,从 而 确保 网 络 
接 入 的 安全 。 

(5) 绑 定 IP 和 MAC 地 址 

许多 安全 设置 都 是 基于 IP 的 ,而 用 户 的 IP 地 址 却 可 以 自动 或 手动 随意 设置 。 因 此 ,还 
应 当 同 时 采取 另外 一 种 安全 措施 , 即 在 交换 机 中 将 IP 地 址 与 MAC 地 址 绑 定 在 一 起 。 这 
样 ,即使 用 户 设置 了 IP 地址 ,也 由 于 MAC 地 址 不 同 而 不 能 获得 相应 的 权限 ,从 而 保证 网 络 
的 安全 。 

2. 路 由 器 安全 规划 

路 由 器 是 一 种 智能 选择 数据 传输 路 由 的 设备 ,用 于 连接 多 个 相同 或 不 同类 型 的 局 域 网 
络 。 以 路 由 器 为 基础 构建 (Router Based Network) 的 网 络 被 称 为 * 网 间 网 ”, 例 如 企业 与 其 
分 支 机 构 之 间 构 建 的 网 络 ,其 至 城 域 网 络 等 都 属于 “网 间 网 ”的 范畴 。 事 实 上 ,几乎 每 天 都 要 
使 用 的 Internet 就 是 由 数 以 万 计 的 路 由 器 构建 而 成 的 .超大 规模 的 ,具有 国际 性 的 “网 间 网 ”。 

(1) 访问 控制 列表 

访问 控制 列表 (Access Control List, ACL) 是 Cisco IOS 提供 的 一 种 访问 控制 技术 ,被 
广泛 应 用 于 路 由 器 和 三 层 交 换 机 。 借 助 ACL, 可 以 有 效 地 控制 用 户 对 网 络 和 Internet 的 访 
问 ,从 而 最 大 限度 地 保障 网 络 安全 。 

Cisco 支持 3 种 类 型 的 访问 列表 , 即 标准 IP 访问 控制 列表 、 扩 展 IP 访问 控制 列表 和 命 
名 访问 控制 列表 。 

@ 标准 IP 访问 控制 列表 。 标 准 IP 访问 控制 列表 只 允许 过 滤 源 地 址 , 且 功 能 十 分 有 
限 。 当 想 阻 止 来 自 某 一 网 络 的 所 有 通信 流量 ,或 者 允许 来 自 某 一 特定 网 络 的 所 有 通信 流量 ， 
或 者 想 要 拒绝 某 一 协议 簇 的 所 有 通信 流量 时 ,可 以 使 用 标准 IP 访问 控制 列表 来 实现 这 一 目 
标 。 标 准 IP 访问 控制 列表 检查 路 由 的 数据 包 的 源 地 址 ,从 而 允许 或 拒绝 基于 网 络 、 子 网 或 
主机 的 IP 地 址 的 所 有 通信 流量 通过 路 由 器 的 出 口 。 

@ 扩展 IP 访问 控制 列表 。 扩 展 IP 访问 控制 列表 允许 过 滤 源 地 址 .目的 地 址 和 上 层 应 
用 数据 ,因此 ,可 以 适应 各 种 复杂 的 网 络 应 用 。 扩 展 卫 访问 控制 列表 既 检查 数据 包 的 源 地 
址 ,也 检查 数据 包 的 目的 地 址 ,还 检查 数据 包 的 特定 协议 类 型 .端口 号 等 。 扩 展 了 访问 控制 
列表 更 具有 灵活 性 和 可 扩充 性 , 即 可 以 对 同一 地 址 允许 使 用 某 些 协议 的 通信 流量 通过 ,而 拒 
绝 使 用 其 他 协议 的 流量 通过 。 

@ 命名 访问 控制 列表 。 在 标准 与 扩展 卫 访问 控制 列表 中 均 要 使 用 表 号 ,而 在 命名 访 
问 控制 列表 中 使 用 一 个 字母 或 数字 组 合 的 字符 串 来 代 蔡 前 面 所 使 用 的 数字 。 使 用 命名 访问 
控制 列表 可 以 删除 某 一 条 特定 的 控制 条 目 , 这 样 ,可 以 在 使 用 过 程 中 方便 地 进行 修改 。 

在 设置 访问 列表 时 .应 当 遵 循 最 小 特权 原则 , 即 只 给 受 控 对 象 完 成 任务 所 必需 的 最 小 权 


so@ 
第 10 意 ”网 络 安全 管理 。 361 


限 ,从 而 最 大 限度 地 保障 网 络 传 输 安全 。 所 谓 最 小 特权 (Least Privilege) 是 指 在 完成 某 种 操 
作 时 所 赋予 网 络 中 每 个 主体 (用 户 或 进程 ) 必 不 可 少 的 特权 。 最 小 特权 原则 是 指 应 限定 网 络 
中 每 个 主体 所 必需 的 最 小 特权 ,确保 可 能 的 事故 、 错 误 和 网 络 部 件 的 自 改 等 原因 造成 的 损失 
最 小 。 最 小 特权 原则 一 方面 给 予 主体 必 不 可 少 的 特权 ,保证 所 有 的 主体 都 能 在 所 赋予 的 权 
限 内 完成 自己 的 任务 或 操作 ; 另 一 方面 ,只 给 予 主体 必 不 可 少 的 特权 ,从 而 限制 每 个 主体 所 
能 进行 的 操作 ,以 确保 企业 网 络 安全 。 

@ 自 上 而 下 的 处 理 过 程 。 访问 列表 包含 一 个 访问 控制 条 目 (Access Control Entry， 
ACE) 规 则 列表 。 每 个 ACE 都 指定 Permit( 允 许 ) 或 Deny( 拒 绝 ), 以 及 应 用 条 件 , 报 文 会 逐 
个 条 目 顺序 匹配 ACE。 访 问 列表 表 项 的 检测 按 自 上 而 下 的 顺序 进行 ,并 且 从 第 一 个 表 项 开 
始 。 这 意味 着 必须 特别 谨慎 地 考虑 访问 列表 中 语句 的 顺序 。 

当 一 个 报 文 在 一 个 接口 上 被 接收 到 时 ,交换 机 将 报 文中 的 相关 字段 与 应 用 于 该 接口 上 
的 ACL 进行 比较 ,验证 该 报 文 是 否 满足 该 ACL 的 所 有 ACE 的 转发 条 件 。 交 换 机 对 该 
ACL 的 所 有 ACE 进行 逐条 比较 , 当 第 一 个 匹配 的 条 件 找到 时 (该 报 文 与 某 一 条 ACE 的 匹 
配 条 件 完全 匹配 ) 决 定 对 该 报 文 是 接收 (Accepts) 还 是 拒绝 (Rejects) 。 因 为 交换 机 在 找到 第 
一 个 匹配 条 件 时 就 停止 比较 ,因此 接 人 控制 列表 的 匹配 条 件 的 顺序 是 至 关 重 要 的 ,在 进行 
ACL 的 配置 时 应 给 予 关 注 ,否则 配置 可 能 不 一 定 如 愿 。 如 果 所 有 条 件 都 不 匹配 , 则 交换 机 
拒绝 该 报 文 。 如 果 没 有 任何 对 此 报 文 的 限制 条 件 , 则 交换 机 转发 该 报 文 ,否则 丢弃 之 。 关 于 
该 规则 ,以 A 国 的 《海关 过 境 规则 ) 来 理解 。 当 一 个 人 关 人 员 从 某 一 个 海关 入 境 时 ,海关 工 
作 人 员 将 其 与 (海关 过 境 规则 ?中 的 所 有 细则 从 头 到 尾 相 比较 , 当 某 一 条 细则 与 人 关 人 员 身 
份 匹配 时 , 则 该 人 关 人 员 就 适用 于 该 细则 的 待遇 。 由 于 是 按照 过 境 规则 从 头 到 尾 比 较 , 因 此 
细则 的 顺序 是 至 关 重 要 的 ,比如 ,细则 第 一 条 为 : 携带 危险 物品 者 拒绝 人 境 , 如 果 将 该 细则 
放 到 最 后 , 则 可 能 有 些 携带 危险 物品 者 也 符合 别 的 细则 的 身份 要 求 而 被 当 作 允许 入 境 人 员 
而 入 境 。 所 以 该 细则 一 定 要 放 在 过 境 规则 的 第 一 条 。 另 外 ,海关 过 境 规则 的 所 有 细则 申明 
了 所 有 人 允许 人 境 人 员 的 适用 条 件 ,不 符合 所 有 细则 的 入 境 人 员 均 被 视 为 非法 入 境 人 员 。 同 
理 , 交 换 机 接口 上 接收 到 的 报 文 ,如 果 不 匹配 该 接口 上 ACL 的 所 有 ACE 的 匹配 条 件 , 则 该 
报 文 被 视 为 非法 报 文 而 被 丢弃 。 可 以 通过 在 ACL 的 最 后 添加 一 条 允许 所 有 报 文 的 ACE 
以 允许 其 他 所 有 报 文通 过 。 

ACL 的 ACE 是 按照 生成 ACE 的 顺序 从 第 一 条 开始 往 后 添加 的 ,不 能 有 选择 地 将 某 一 
条 ACE 添加 到 某 一 个 ACL 的 某 一 个 指定 位 置 。 但 可 以 通过 no 命令 来 删除 某 一 条 ACE。 
如 果 一 条 ACL 已 经 被 关联 到 某 一 个 接口 上 , 则 对 该 ACL 所 做 的 修改 会 被 重新 应 用 到 该 接 
口上 。 但 由 于 硬件 资源 表 项 的 限制 ,重新 应 用 可 能 导致 资源 不 足 而 失败 。 

如 果 将 一 条 没有 任何 ACE 的 ACL 应 用 到 某 一 个 接口 上 , 则 意味 着 允许 所 有 报 文通 
过 , 即 Permit any。 

@ 添加 表 项 。 新 增加 的 表 项 被 追加 到 访问 列表 末尾 ,这 就 意味 着 不 能 改变 已 有 的 访问 
列表 的 功能 。 如 果 要 改变 ,就 必须 创建 一 个 新 的 访问 列表 ,删除 已 经 存在 的 访问 列表 ,并 且 
将 新 的 访问 列表 应 用 于 接口 上 。 

@ 标准 访问 列表 过 滤 。 标 准 访问 列表 只 限于 过 滤 源 地 址 ,所 以 ,需要 使 用 扩展 的 IP 访 
问 列表 来 满足 企业 的 特殊 需求 。 

加 访问 列表 位 置 。 应 当 将 扩展 访问 列表 尽量 放 在 靠近 过 滤 源 的 位 置 上 ,这 样 ,创建 的 
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过 滤器 就 不 会 反 过 来 影响 其 他 接口 上 的 数据 流 。 而 标准 访问 列表 则 应 当 尽 量 靠 近 目 的 地 的 
位 置 。 由 于 标准 访问 列表 只 使 用 源 地 址 ,因此 ,将 阻止 报 文 流向 其 他 端口 。 

回 语句 的 位 置 。 由 于 全 协议 包含 ICMP、TCP 和 UDP, 所 以 ,应 当 将 具体 的 表 项 放 在 不 
太 具 体 的 表 项 前 面 ,以 保证 位 于 另 一 个 语句 前 面 的 语句 不 会 否定 表 中 后 面 语句 的 作用 效果 。 

@ 访问 列表 应 用 。 使 用 Access-group 命令 应 用 访问 列表 。 需 要 注意 的 是 ,只 有 访问 列 
表 被 应 用 于 接口 上 时 , 才 执 行 过 滤 操作 ,从 而 真正 产生 作用 。 

@ 过 滤 方 向 。 通 过 接口 的 数据 流 是 双向 的 。 过 滤 方向 定义 了 要 检查 的 是 流入 还 是 流 
出 的 报 文 。 所 以 ,访问 列表 要 应 用 到 接口 的 特定 方向 上 。 向 外 的 (Outbound) 表 示 数 据 流 从 
三 层 设备 流出 ; 向 内 的 (Inbound) 表 示 数 据 流 流 向 三 层 设备 。 

@ ACL 与 系统 中 其 他 的 应 用 互 斥 。 如 果 打 开 某 一 个 端口 的 802. 1x 认证 功能 ,而 又 将 
某 一 个 ACL 关联 到 某 一 个 接口 ,虽然 系统 并 不 报错 ,但 该 ACL 将 不 会 生效 。 如 果 配 置 某 
一 个 端口 的 安全 地 址 时 选择 了 IP 地 址 选项 ,而 又 将 某 一 个 ACL 关联 到 某 一 个 接口 ,虽然 系 
统 并 不 报错 ,但 该 ACL 将 不 会 生效 。 

访问 列表 配置 步 又 如 下 。 

O@ 分 析 需 求 , 搞 清楚 需求 中 要 保护 什么 或 控制 什么 ; 为 方便 配置 ,最 好 能 以 表格 形式 
列 出 。 

@ 分 析 符合 条 件 的 数据 流 的 路 径 , 寻 找 一 个 最 适合 进行 控制 的 位 置 。 

@ 编写 ACL, 并 将 ACL 应 用 到 接口 上 。 

@ 测试 并 修改 ACL。 

(2) NAT 

红 助 于 NAT, 私 有 (保留 ) 地 址 的 “内 部 "网络 通 过 路 由 器 发 送 数据 包 时 ,私有 地 址 被 转 
换 成 合法 的 IP 地 址 ,从 而 只 需 使 用 少量 IP 地 址 (甚至 是 1 个 ) , 即 可 实现 私有 地 址 网 络 内 所 
有 计算 机 与 Internet 的 通信 。 也 就 是 说 ,在 网 络 内 的 计算 机 数量 大 于 ISP 提供 的 合法 IP 地 
址 时 ,NAT 就 拥有 了 自己 的 用 武之 地 。 

NAT 将 自动 修改 IP 报 文 头 中 的 源 IP 地 址 和 目的 IP 地 址 ,IP 校 验 则 在 NAT 处 理 过 
程 中 自动 完成 。 有 些 应 用 程序 将 源 IP 地 址 嵌入 到 IP 报 文 的 数据 部 分 中 ,所 以 ,还 需要 同时 
对 报 文 进 行 修 改 , 以 匹配 IP 头 中 已 经 修改 过 的 源 IP 地 址 。 否 则 ,在 报 文 数据 部 分 嵌入 IP 
地 址 的 应 用 程序 就 不 能 正常 工作 。 令 人 遗憾 的 是 ,尽管 NAT 的 Cisco 版 本 可 以 处 理 许多 应 
用 ,但 它 毕 竟 不 是 万 能 的 ,还 是 有 些 应 用 无 法 被 支持 。 表 10-1 列举 了 Cisco NAT 支持 的 和 
不 支持 的 应 用 。 

NAT 的 实现 方式 有 3 种 , 即 静态 转换 、 动 态 转换 和 端口 多 路 复 用 。 

Q@ 静态 转换 : 指 将 内 部 网 络 的 私有 IP 地 址 转换 为 公用 IP 地 址 时 ,IP 地 址 对 是 一 对 一 
的 ,是 一 成 不 变 的 , 某 个 私有 IP 地 址 只 转换 为 某 个 公有 IP 地 址 。 借 助 于 静态 转换 ,可 实现 
外 部 网 络 对 内 部 网 络 中 某 些 特定 设备 (如 服务 器 ) 的 访问 。 

@ 动态 转换 : 指 将 内 部 网 络 的 私有 IP 地 址 转换 为 公用 IP 地 址 时 ,IP 地 址 对 是 不 确定 
的 ,是 随机 的 ,所 有 被 授权 访问 Internet 的 私有 IP 地 址 ,可 随机 转换 为 任何 指定 的 合法 了 
地 址 。 也 就 是 说 ,只 要 指定 哪些 内 部 地 址 可 以 进行 转换 ,以 及 用 哪些 合法 地 址 作为 外 部 地 址 
时 ,就 可 以 进行 动态 转换 。 动 态 转换 可 以 使 用 多 个 合法 外 部 地 址 集 。 当 ISP 提供 的 合法 IP 
地 址 略 少 于 网 络 内 部 的 计算 机 数量 时 ,可 以 采用 动态 转换 的 方式 。 
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表 10-1 Cisco NAT 支持 的 和 不 支持 的 应 用 


支持 的 应 用 不 支持 的 应 用 
任何 非 源 和 目的 的 TCP/UDP 报 文 IP 组 播 
在 IP 报 文 的 数据 部 分 中 的 IP 地 址 路 由 表 更 新 
ICMP DNS 域 的 迁移 
FTP BOOTP 
TCP 上 的 NetBIOS( 会 话 服务 除外 ) Talk, NTalk 
RealAudio SNMP 
White Pines CUSeeMe NetShow 
Streamworks 
DNS(A 查询 和 PTR 查询 ) 
H. 323 
NetMeeting 
VDOLive 
Vxtreme 


@ 端口 多 路 复 用 : 指 改 变 外 出 数据 包 的 源 端 口 并 进行 端口 转换 完成 , 即 端 口 地 址 转 
换 (Port Address Translation,PAT) 。 采 用 端口 多 路 复 用 方式 ,内 部 网 络 的 所 有 主机 均 可 
共享 一 个 合法 外 部 IP 地 址 实现 对 Internet 的 访问 ,从 而 可 以 最 大 限度 地 节约 IP 地 址 资源 。 
同时 ,又 可 隐藏 网 络 内 部 的 所 有 主机 ,有 效 避 免 来 自 Internet 的 攻击 。 因 此 ,目前 网 络 中 应 
用 最 多 的 就 是 端口 多 路 复 用 方式 了 。 


10.1.2 网 络 安全 设备 规划 


网 络 安全 设备 有 多 种 类 型 ,防火墙 就 是 其 中 一 种 ,防火 墙 通常 部 署 于 网 络 的 边界 。 当 
然 , 边 界 可 以 是 局 域 网 与 广域网 的 .局域网 与 Internet 的 .不同 子 网 之 间 的 ,以 及 子 网 与 服务 
器 之 间 的 等 。 

对 于 安全 设备 的 配置 与 管理 ,通常 在 对 安全 设备 进行 初始 化 后 ,使 用 Cisco ASDM 进行 
日 常 管理 和 配置 比较 方便 。 对 于 Cisco ASDM 的 安装 ,需要 在 安全 设备 和 管理 计算 机 上 同 
时 安装 。 另 外 ,建议 将 Cisco ASDM 的 安装 程序 保存 到 安全 设备 上 ,在 客户 端 计算 机 登录 设 
备 时 , 即 可 使 用 该 安装 程序 将 Cisco ASDM 安装 到 计算 机 上 。 


10.1.3 客户 端 安 全 规划 


虽然 在 客户 端 计算 机 上 通常 不 会 保存 有 高 保密 性 的 文件 ,但 往往 由 于 客户 端 计算 机 的 
安全 性 不 高 ,而 使 其 成 为 攻击 者 用 来 攻击 服务 器 的 跳板 。 因 此 ,客户 端 计算 机 的 安全 同样 需 
要 管理 员 足 够 的 重视 。 

对 于 客户 端 计算 机 的 安全 ,通常 采用 的 方法 是 启用 防火 墙 和 系统 自动 更 新 ,并 在 离开 计 
算 机 时 锁定 计算 机 ,防止 其 他 人 窥视 隐私 文件 。 


10.2 网 络 设备 安全 管理 


交换 机 和 路 由 器 是 计算 机 网 络 最 常用 的 网 络 设备 ,其 安全 性 将 直接 影响 到 整个 网 络 的 
可 用 性 和 稳定 性 ,对 于 网 络 安全 起 着 至 关 重 要 的 作用 。 尤 其 是 网 络 路 由 器 ,作为 局 域 网 中 唯 
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一 暴露 在 Internet 中 的 设备 ,更 是 常常 经 受 恶 意 攻击 。 路 由 器 和 交换 机 一 旦 被 攻破 ,网 络 安 
全 和 正常 运行 也 就 无 从 谈 起 了 。 


10.2.1 交换 机 安全 管理 


作为 网 络 传输 枢纽 的 交换 机 ,在 网 络 安全 中 的 重要 地 位 是 无 可 取代 的 。 无 论 是 控制 广 
播 风 暴 的 产生 .拒绝 用 户 之 间 非 授权 访问 、 限 制 用 户 的 网 络 服务 与 应 用 、 禁 止 未 授权 计算 机 
接 和 网络 还 是 拒绝 非法 用 户 访问 网 络 ,都 离 不 开 对 交换 机 的 安全 配置 。 因 此 ,交换 机 安全 是 
整个 网 络 安全 的 重要 组 成 部 分 。 

1. 风暴 控制 

风暴 控制 配置 过 程 如 下 。 

(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 
(2) 指定 要 配置 的 接口 。 


Switch(config)# interface interface-id 


(3) 配置 广播 多 播 或 单 播 风暴 控制 。 默 认 状态 下 ,风暴 控制 被 禁用 。 通 常情 况 下 ,应 
当 启用 广播 风暴 控制 。 

Switch(config-if) # storm-control {broadcast | multicast | unicast) level {level [level-low] | bps bps 

[bps-low] | pps pps [ppsrlow] 

其 中 各 参数 含义 如 下 。 

J level: 指定 阻塞 端口 的 带宽 上 限 值 。 当 广播 .多 播 或 单 播 传输 占 到 带宽 的 多 大 比 
例 (百分比 ) 时 ,端口 将 阻塞 传输 。 取 值 范围 为 0.00 一 100. 00。 如 果 将 值 设置 为 100%% ,将 不 
限制 任何 传输 ; 如 果 将 值 设置 为 0%% ,那么 ,该 端口 的 所 有 广播 ,多 播 或 单 播 都 将 被 阻塞 。 建 
议 取 值 范围 在 30% 左 右 。 

@ level-low: 指定 启用 端口 的 带宽 下 限 值 。 该 值 应 当 小 于 或 等 于 下 限 值 , 当 广播 ,多 播 
或 单 播 传输 占用 带宽 的 比例 低 于 该 值 时 ,端口 恢复 转发 传输 。 取 值 范围 为 0.00 一 100. 00。 
建议 取 值 范围 在 20% 左 右 。 

@ bps: 指定 端口 阻塞 的 传输 速率 上 限 值 。 当 广播 ` 多 播 或 单 播 传输 达到 每 秒 若 干 比 
特 (bps) 时 ,端口 将 阻塞 传输 。 建 议 取 值 范围 不 高 于 端口 速率 的 1/3 一 1/2。 

@ bps-low: 指定 端口 启用 的 传输 速率 下 限 值 。 该 值 应 当 小 于 或 等 于 下 限 值 , 当 广 播 、 
多 播 或 单 播 传输 低 于 每 秒 若干 比特 (bps) 时 ,端口 将 恢复 传输 。 建 议 取 值 范围 不 高 于 端口 速 
率 的 1/3 一 1/2。 如 果 数 值 较 大 ,也 可 以 使 用 km 或 g 等 单位 表示 。 

@ pps: 指定 端口 阻塞 的 转发 速率 上 限 值 。 当 广播 .多 播 或 单 播 传输 速率 达到 每 秒 若 
干 包 (pps) 时 ,端口 将 阻塞 传输 。 建议 取 值 范围 不 高 于 端口 转发 速率 的 1/3 一 1/2。 

@ pps-low: 指定 端口 启用 的 传输 速率 下 限 值 。 该 值 应 当 小 于 或 等 于 下 限 值 , 当 广 播 、 
多 播 或 单 播 转发 速率 低 于 每 秒 若干 包 (pps) 时 ,端口 将 恢复 传输 。 建 议 取 值 范围 不 高 于 端口 
转发 速率 的 1/3 一 1/2。 如 果 数 值 较 大 ,也 可 以 使 用 km 或 g 等 单位 表示 。 

(4) 指定 风暴 发 生 时 如 何 处 理 。 默 认 状 态 下 ,将 过 滤 外 出 的 传输 ,并 不 发 送 SNMP 陷 
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阱 。 选 择 shutdown 关键 字 , 在 风暴 期 间 将 禁用 端口 ; 选择 trap 关键 字 , 当 风暴 发 生 时 , 产 
生 一 个 SNMP 陷阱 ,向 网 络 管理 软件 发 出 警报 。 通 常情 况 下 , 当 风 暴发 生 时 ,应 当选 择 
shutdown 关键 字 , 从 而 避免 风暴 发 生 而 导致 的 网 络 瘫痪 。 


Switch(config-if) # storm-control action {shutdown | trap} 

(5) 返回 特权 EXEC 模式 。 

Switch(config-if) # end 

(6) 显示 并 校 验 该 接口 当前 的 配置 。 

Switch# show storm-control [interface] [{broadcast | history | multicast | unicast)] 
(7) 保存 风暴 控制 配置 。 

Switch# copy running-config startup-config 


使 用 no storm-control {broadcast | multicast | unicast}) 命 令 , 可 以 在 指定 端口 禁用 风 
暴 控 制 功能 。 

提示 : 使 用 interface range {port-range | macro macro_name} 命 令 , 可 以 创建 端口 组 ， 
从 而 同时 配置 多 个 端口 。 

2. 流 控制 

端口 流 控制 配置 过 程 如 下 。 

(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 

(2) 选择 要 配置 的 端口 ,进入 接口 配置 模式 。 
Switch(config) # interface interface-id 

(3) 设置 端口 的 流 控制 。 

Switch(config-if) # flowcontrol {receive | send) {on | off | desired} 
(4) 返回 特权 EXEC 模式 。 

Switch(config-if) # end 

(5) 显示 接口 状态 。 

Switch# show interfaces interface-id 

(6) 保存 配置 。 

Switch# copy running-config startup-config 


3. 保护 端口 
保护 端口 配置 过 程 如 下 。 
(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 
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(2) 指定 要 配置 的 接口 。 

Switch(config)# interface interface-id 

(3) 将 接口 配置 为 保护 端口 。 

Switch(config-if) # switchport protected 

(4) 返回 特权 EXEC 模式 。 

Switch(config-if) # end 

(5) 显示 并 校 验 该 接口 当前 的 配置 。 

Switch# show interfaces interface-id switchport 

(6) 保存 配置 。 

Switch# copy running-config startup-config 

车 要 禁用 保护 端口 ,可 以 使 用 no switchport protected 接口 配置 命令 。 

注意 : 对 于 需要 保证 用 户 信 息 安全 的 环境 ,可 以 通过 将 用 户 端口 设置 为 Access Port， 
并 使 用 该 Access Port 的 Protected Port 功能 ,但 是 这 些 用 户 有 责任 对 自己 的 信息 安全 做 出 
保证 , 即 用 户 保证 不 发 送 tagged 帧 ,交换 机 保证 发 送 到 Access Port 的 所 有 帧 均 为 untagged 
帧 。 如 果 一 个 Access Port 收 到 tagged 帧 ,在 交换 机 上 将 按照 正常 转发 。 对 于 一 个 使 用 了 
Protected Port 功能 的 Access Port, 如 果 收 到 tagged 未 知名 单 播 帧 ,未 知名 多 播 帧 和 广播 
帧 ,交换 机 将 按照 普通 端口 的 转发 规则 转发 给 所 有 其 他 端口 。 

最 好 不 要 将 一 个 Trunk Port 设置 为 Protected Port, 对 于 使 用 了 Protected Port 功能 的 
Trunk Port, 交 换 机 对 该 端口 收 到 的 单 播 帧 保证 不 转发 给 其 他 Protected Port。 但 是 对 于 该 
端口 收 到 的 tagged 未 知名 多 播 帧 、 未 知名 单 播 帧 和 广播 帧 ,交换 机 将 按照 普通 端口 的 转发 
规则 转发 给 所 有 其 他 端口 。 

4. 端口 阻塞 

默认 状态 下 ,未知 目的 MAC 地 址 的 广播 包 被 允许 从 端口 向 外 传输 。 如 果 未 知 的 单 播 
和 多 播 通信 被 转发 到 保护 端口 ,将 导致 安全 问题 。 可 以 采用 阻塞 端口 的 方式 ,防止 未 知 的 单 
播 和 多 播 通信 在 端口 间 转发 。 

端口 阻塞 配置 过 程 如 下 。 

(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 
(2) 指定 要 配置 的 接口 。 

Switch(config) # interface interface-id 

(3) 禁止 未 知 多 播 从 该 端口 向 外 传输 。 


Switch(config-if)# switchport block multicast 
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(4) 禁止 未 知 单 播 从 该 端口 向 外 传输 。 
Switch(config-if) # switchport block unicast 
(5) 返回 特权 EXEC 模式 。 
Switch(config-if) # end 

(6) 显示 并 校 验 该 接口 当前 的 配置 。 
Switch# show interfaces interface-id switchport 
(7) 保存 配置 。 

Switch# copy running-config startup-config 


5. 端口 安全 

当 配 置 端口 安全 时 ,应 当 注 意 以 下 问题 。 

QO@ 安全 端口 不 能 是 Trunk 端口 。 

@ 安全 端口 不 能 是 Switch Port Analyzer(SPAN) 的 目的 端口 。 

@ 安全 端口 不 能 是 属于 Ether Channel 的 端口 。 

@ 安全 端口 不 能 是 Private-VLAN 端口 。 

@ 安全 端口 不 能 是 一 个 Aggregate 端口 。 

@ 安全 端口 只 能 是 一 个 访问 端口 。 

利用 端口 安全 这 个 特性 ,可 以 通过 限制 允许 访问 交换 机 上 某 个 端口 的 MAC 地 址 以 及 
IP 地 址 实现 严格 控制 对 该 端口 的 输入 。 当 为 安全 端口 (打开 了 端口 安全 功能 的 端口 ) 配 置 
了 一 些 安 全 地 址 后 , 则 除了 源 地址 为 这 些 安全 地 址 的 包 外 ,这 个 端口 将 不 转发 其 他 任何 包 。 
此 外 ,还 可 以 限制 一 个 端口 上 能 包含 的 安全 地 址 最 大 个 数 ,如 果 将 最 大 个 数 设 置 为 1, 并 且 
为 该 端口 配置 一 个 安全 地 址 , 则 连接 到 这 个 端口 的 工作 站 (其 地 址 为 配置 的 安全 MAC 地 
址 ) 将 独 享 该 端口 的 全 部 带宽 。 

为 了 增强 安全 性 .可 以 将 MAC 地 址 和 IP 地 址 绑 定 起 来 作为 安全 地 址 。 当 然 也 可 以 只 
指定 MAC 地 址 而 不 绑 定 卫 地址。 

如 果 一 个 端口 被 配置 为 一 个 安全 端口 , 当 其 安全 地 址 的 数目 已 经 达到 允许 的 最 大 个 数 后 ,如 
果 该 端口 收 到 一 个 源 地 址 不 属于 端口 上 的 安全 地 址 的 包 时 ,一 个 安全 违例 将 产生 。 当 安全 违例 
产生 时 ,可 以 选择 多 种 方式 来 处 理 违例 ,比如 丢弃 接收 到 的 包 , 发 送 违例 通知 或 关闭 相应 端口 等 。 

当 设 置 了 安全 端口 上 安全 地 址 的 最 大 个 数 后 ,可 以 使 用 下 面 几 种 方式 加 满 端 口上 的 安 
全 地 址 。 

OO 使 用 接口 配置 模式 下 的 命令 switchport port-security mac-address mac-address [ip- 
address ip-address] 手 工 配置 端口 的 所 有 安全 地 址 。 

@ 让 该 端口 自动 学 习 地 址 ,这 些 自动 学 习 到 的 地 址 将 变 成 该 端口 上 的 安全 地 址 ,直到 
达到 最 大 个 数 。 需 要 注意 的 是 ,自动 学 习 的 安全 地 址 均 不 会 绑 定 卫 地 址 ,如 果 在 一 个 端口 
上 ,已 经 配置 了 绑 定 IP 地 址 的 安全 地 址 , 则 将 不 再 通过 自动 学 习 来 增加 安全 地 址 。 

@ 手工 配置 一 部 分 安全 地 址 , 剩 下 的 部 分 让 交换 机 自己 学 习 。 

(1) 配置 安全 端口 

安全 端口 配置 过 程 如 下 。 
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Q@ 进入 全 局 配置 模式 。 

Switch# configure terminal 

@ 指定 要 配置 端口 安全 的 接口 。 
Switch(config) 井 interface interface-id 

@ 将 接口 设置 为 访问 模式 。 
Switch(config-if)# switchport mode access 
@ 在 接口 启用 端口 安全 。 
Switch(config-if{)# Switchport port-security 


@ 在 接口 设置 安全 MAC 地 址 的 最 大 数量 ,以 限制 该 端口 所 连接 的 计算 机 数量 。 取 值 
范围 为 1~~3072, 默 认 值 是 1。 如 果 端 口 只 是 用 于 连接 计算 机 ,建议 采用 默认 值 1, 以 确保 只 
1 一 台 计 算 机 接 入 。 


Switch(config-if) # switchport port-security maximum value 


@ 设置 违例 发 生 后 的 处 理 模 式 。 当 安全 违例 事件 发 生 时 ,将 端口 置 于 restrict 或 
shutdown 模式 。 选 择 restrict 模式 时 , 当 非 法 MAC 地 址 或 太 多 MAC 连接 至 该 接口 时 ,将 
丢弃 数据 包 , 并 向 网 管 计算 机 发 送 SNMP 陷阱 通知 。 选 择 shutdown 模式 时 ,发生 安全 错误 
的 端口 将 被 置 于 error-disable 状态 ,除非 网 络 管理 员 使 用 no shutdown 命令 手工 激活 ,否则 
该 端口 失效 。 为 了 保障 网 络 安全 起 见 ,建议 采用 shutdown 模式 。 

Switch(config-if) 上 # switchport port-security violation {restrict | shutdown} 

@ 为 该 接口 指定 安全 MAC 地 址 。 也 可 以 使 用 该 命令 指定 最 大 安全 MAC 地 址 数 。 如 
果 指 定 的 MAC 地 址 数量 少 于 安全 地 址 的 最 大 数量 ,动态 学 习 的 MAC 地 址 将 被 保留 。 如 
果 端 口 只 是 用 于 连接 计算 机 ,建议 为 其 指定 安全 MAC 地 址 ,从 而 有 效 避 免 其 他 非 授权 计算 
机 的 接 入 。 


Switch(config-if) # switchport port-security mac-address mac-address 
@ 绑 定 端口 和 MAC 地 址 。 

Switch(config-if{)# switchport port-security mac-address sticky 

@ 返回 特权 EXEC 模式 。 

Switch(config-if)# end 

@ 查看 并 校 验 配置 。 


Switch# show port-security address interface interface-id 
Switch# show port-security address 


@@ 保存 当前 配置 。 


Switch# copy running-config startup-config 
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使 用 no switchport port-security mac-address mac-address 指令 ,可 以 从 地 址 表 中 删除 
MAC 地 址 。 

(2) 设置 端口 安全 老化 

当 为 端口 指定 最 大 MAC 地 址 数 时 ,为 了 保障 该 端口 能 够 得 以 充分 利用 ,可 以 采用 设置 
端口 安全 老化 时 间 和 模式 的 方式 ,使 系统 能 够 自动 删除 长 时 间 未 连接 的 MAC 地 址 ,从 而 不 
必 手 工 删除 ,减少 网 络 维护 的 工作 量 。 

Q@ 进入 全 局 配置 模式 。 


Switch# configure terminal 
@ 指定 要 配置 端口 安全 老化 的 接口 。 
Switch(config)# interface interface-id 


@ 为 安全 端口 设置 老化 时 间 和 老化 类 型 。 老 化 时 间 的 取 值 范围 为 0 一 1440 分 钟 。 采 
用 absolute 模式 时 ,一 旦 到 达 指 定 的 老化 时 间 , 那 么 ,即将 MAC 地 址 从 安全 地 址 列表 框 中 
移 除 。 采 用 inactivity 时 ,即使 到 达 指 定 的 老化 时 间 ,如果 没有 其 他 数据 通信 ,那么 ,MAC 地 
址 仍然 被 保留 在 安全 地 址 列表 框 中 。 


Switch(config-if) # switchport port-security [ aging time aging-time | type {absolute | inactivity} ] 
@ 返回 特权 EXEC 模式 。 

Switch(config-if) # end 

@ 查看 并 校 验 配置 。 

Switch# show port security [interface interface-id] [address] 

@ 保存 当前 配置 。 

Switch# copy running-config startup-config 


6. 绑 定 IP 和 MAC 地 址 
使 用 下 述 命令 ,可 将 MAC 地 址 与 IP 地 址 绑 定 在 一 起 。 
(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 

(2) 绑 定 IP 地 址 与 MAC 地 址 。 若 要 绑 定 若干 IP 地 址 ,需要 重复 该 操作 。 
Switch(config-if) # arp ip-address mac-address arpa 

(3) 保存 当前 配置 。 


Switch# copy running-config startup-config 


10.2.2 路 由 器 安全 管理 


作为 网 络 出 口 设备 ,路 由 器 的 安全 对 整个 网 络 有 着 非常 重要 的 影响 ,因此 ,路 由 器 的 安 
全 应 当 得 到 更 多 的 重视 。 由 于 Cisco 交换 机 与 路 由 器 都 采用 相同 的 Cisco IOS 操作 系统 , 因 
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此 ,应 用 于 路 由 器 的 许多 功能 和 配置 命令 (如 IP 访问 列表 时间 访 问 列表 等 ) ,也 同样 适用 于 
三 层 交 换 机 。 

1. IP 访问 列表 

1) 创建 标准 访问 列表 

创建 标准 访问 列表 的 步骤 如 下 。 

(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 
(2) 使 用 源 地 址 或 通配符 定义 标准 IP 访问 列表 。 
Switch(config)# access-list access-list-number {deny | permit}) source [source-wildcard] 


其 中 各 参数 的 含义 如 下 。 

@ access-list-number: ACL 号 。ACL 号 相同 的 所 有 ACL 形成 一 个 组 。 在 判断 一 个 
包 时 ,使 用 同一 组 中 的 条 目 从 上 到 下 逐一 进行 判断 ,一 旦 遇 到 满足 条 件 的 条 目 就 终止 对 该 包 
的 判断 。1 一 99 或 1300 一 1999 为 标准 的 IP ACL 号 。 

@ deny | permit: 当 条 件 匹 配 时 ,是 允许 包 通 过 ,还 是 将 包 丢 弃 。 

@ source: 源 地 址 。 发 送 包 的 网 络 或 主机 地 址 ,使 用 点 分 十 进 制 表示 。 当 表示 一 组 主 
机 时 ,使 用 通配符 屏蔽 码 。 

@ source-wildcard: 通配符 屏蔽 码 。Cisco 访问 列表 所 支持 的 通配符 屏蔽 码 与 子 网 掩 
码 的 方式 是 相反 的 。 也 就 是 说 ,二 进 制 *0” 表 示 一 个 匹配 条 件 ,“1” 表 示 一 个 不 关心 条 件 。 

any 表示 任何 主机 。 源 地 址 和 源 通配符 0. 0. 0.0 255. 255. 255. 255 的 缩写 ,例如 ,车 要 拒 
绝 从 源 地 址 192. 168. 1. 100 发 出 的 报 文 ,但 允许 发 自 其 他 源 地 址 的 报 文 ,应 当 使 用 下 述 语句 。 


Access-list 1 deny host 192.168.1.100 
Access-list 1 permit any 


需要 注意 这 两 条 语句 的 顺序 。 访 问 列表 语句 的 处 理 是 由 上 至 下 的 。 如 果 将 两 个 语句 顺 
序 颠 倒 ,将 permit 语句 放 在 deny 语句 前 面 , 则 不 能 过 滤 来 自主 机 的 报 文 ,因为 permit 语句 
将 允许 所 有 报 文通 过 。 访问 列 表 中 的 语句 顺序 非常 重要 ,不 合理 的 语句 顺序 将 会 在 网 络 中 
产生 安全 漏洞 ,或 者 使 得 用 户 不 能 很 好 地 利用 公司 的 网 络 策略 。 

host 表示 一 台 主 机 ,是 源 地 址 和 源 通配符 0. 0. 0.0 的 缩写 ,例如 ,车 要 允许 从 
192. 168. 1. 200 发 出 的 报 文 , 则 应 当 使 用 下 述 语句 。 


Access-list 1 permit 192.168.1.200 0.0.0.0 
上 述 语句 也 可 以 使 用 下 面 的 语句 代替 。 
Access-list 1 permit host 192.168.1.200 
(3) 返回 特权 配置 模式 。 
Switch(config) # end 

(4) 校 验 当前 设置 。 


Switch# show access-lists number 
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(5) 保存 当前 配置 。 
Switch# copy running-config startup-config 


使 用 no access-list access-list-number 全 局 配置 命令 ,可 以 删除 全 部 访问 列表 。 需 要 注 
意 的 是 ,不 能 从 指定 的 访问 列表 中 删除 某 个 ACE 。 

2) 创建 扩展 访问 列表 

标准 IP 访问 列表 只 能 控制 源 IP 地 址 ,不 能 控制 到 端口 。 若 要 控制 企业 用 户 的 网 络 应 
用 ,就 需要 使 用 扩展 IP 访问 列表 。 

(1) 进入 全 局 配置 模式 。 


Switch# configure terminal 
(2) 定义 扩展 IP 访问 列表 , 取 值 范围 为 100~199 或 2000 一 2699。 


Switch (config) # access-list access-list-number {deny | permit) protocol source source-wildcard 
[operator port] destination destination-wildcard [operator port] 


access-list access-list-number {deny | permit) protocol any [operator port] any [operator port] 


access-list access-list-number {deny | permit} protocol host source [operator port] host destination 
[operator port] 


各 参数 的 含义 如 下 。 

Q@ protocol: 要 过 滤 的 协议 ,例如 IP、TCP、UDP 和 ICMP 等 。 默认 过 滤 所 有 协议 , 若 
要 根据 特殊 协议 进行 报 文 过 滤 , 需 指定 协议 。 

@ destination destination-wildcard: 目的 地 址 和 通配符 屏蔽 码 。 

@ operator: 端口 操作 符 ,在 协议 类 型 为 TCP 或 UDP 时 支持 端口 比较 ,支持 的 比较 操 
作 有 : 等 于 (eq) 大 于 (gb 、 小 于 (lb .不 等 于 (neq) 或 介 于 (range)。 如 果 操 作 符 为 range, 则 
后 面 需要 跟 两 个 端口 。 

@ port: 端口 号 ,可 以 用 几 种 不 同方 法 指定 。 可 以 显 式 地 指定 ,数字 或 使 用 一 个 可 识别 
的 助 记 符 ,例如 ,可 以 使 用 80 或 http 指定 超 文 本 传输 协议 ,使 用 21 或 ftp 指定 文件 传输 协 
议 。 例 如 , 若 要 允许 来 自任 何 地 址 的 包含 有 SMTP 数据 的 报 文 到 达 192. 168. 10. 10 主机 ， 
可 以 在 访问 列表 中 添加 下 述 语句 。 


Access-list 101 permit tcp any host 192.168.10.10 eq smtp 
(3) 返回 特权 配置 模式 。 

Switch(config) # end 

(4) 校 验 当 前 设置 。 

Switch# show access-lists number 


(5) 保存 当前 配置 。 
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Switch# copy running-config startup-config 


3) 创建 卫 访问 列表 名 称 
命名 IP 访问 列表 有 两 个 主要 优点 ,一 是 可 以 解决 ACL 号 码 不 足 的 问题 ; 二 是 可 以 自 


由 的 删除 ACL 中 的 一 条 语句 ,而 不 必 删 除 整个 ACL。 而 其 主要 的 不 足 之 处 在 于 无 法 实现 
在 任意 位 置 加 入 新 的 ACL 条 目 。 


(1) 创建 标准 IP 访问 控制 列表 名 称 
Q@ 进入 全 局 配置 模式 。 


Switch# configure terminal 

@ 利用 名 称 定义 标准 了 访问 控制 列表 ,进入 访问 列表 配置 模式 。 名 称 可 以 是 1 一 99 。 
Switch(config)# ip access-list standard name 

@ 定义 一 个 或 多 个 permit 或 deny 条 件 , 以 确定 对 包 实 施 转 发 或 是 丢弃 。 


Switch(config-std-nacl) # deny {source [source-wildcard] | host source | any} 


Switch(config-std-nacl) # permit {source [source-wildcard] | host source | any} 
@ 返回 特权 配置 模式 。 

Switch(config-std-nacl) # end 

@ 校 验 当前 设置 。 

Switch# show access-lists name 

@ 保存 当前 配置 。 

Switch# copy running-config startup-config 


下 例 显示 如 何 创 建 一 条 IP Standard Access-list, 该 ACL 名 字 为 deny-host192. 168. 12. x。 


有 两 条 ACE, 第 一 条 ACE 拒绝 来 自 192. 168. 12. 0 网 段 的 任 一 主机 ; 第 二 条 ACE 允许 其 
他 任意 主机 。 


Switch(config)# ip access-list standard deny-host192.168.12.x 
Switch(config-std-nacl) 上 deny 192.168.12.0 0.0.0.255 any 
Switch(config-std-nacl) # permit any 

Switch(config-std-nacl) # end 

Switch # show access-list 

(2) 创建 扩展 IP 访问 控制 列表 名 称 

J@ 进入 全 局 配置 模式 。 


Switch# configure terminal 


四 利用 名 称 定义 扩展 IP 访问 控制 列表 ,进入 访问 列表 配置 模式 。 名 称 可 以 是 


100 一 199。 


Switch(config) # ip access-list extended name 
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@ 定义 一 个 或 多 个 permit 或 deny 条 件 , 以 确定 对 包 实 施 转 发 或 是 丢弃 。 


Switch(config-ext-nacl) # {deny | permit) protocol {source [source-wildcard] | host source | any) 
{destination [destination-wildcard] | host destination | any} 


@ 返回 特权 配置 模式 。 
Switch(config-std-nacl) # end 

加 校 验 当 前 设置 。 

Switch# show accessrlists name 

@ 保存 当前 配置 。 

Switch# copy running-config startup-config 


下 例 显 示 如 何 创建 一 条 Extended IP ACL, 该 ACL 有 一 条 ACE, 用 于 允许 指定 网 
络 (192. 168. x. x) 的 所 有 主机 以 HTTP 访问 服务 器 172. 168. 12. 3, 但 拒绝 其 他 所 有 主机 使 
用 网 络 。 


Switch(config)# ip access-list extended allow_0xc0a800 to_172.168.12.3 
Switch(config-std-nacl)# permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www 
Switch(config-std-nacl) # end 

Switch # show access-list 


例如 ,借助 扩展 IP 访问 列表 ,可 以 在 VLAN 或 端口 上 阻止 蜘 虫 端口 ,从 而 避免 蠕虫 在 
网 络 中 的 蔓延 ,保证 网 络 的 传输 效率 。 


access-list 110 deny tcp any any rang 135 139 
access-list 110 deny tcp any any eq 445 
access-list 110 deny tcp any any eq 593 
access-list 110 deny tcp any any eq 1029 
access-list 110 deny tcp any any eq 4444 
access-list 110 deny tcp any any eq 5000 
access-list 110 deny tcp any any eq 5554 
access-list 110 deny tcp any any eq 7955 

ist 110 deny udp any any rang 135 139 


st 110 deny udp any any eq tftp 
access-list 110 deny udp any any range 995 999 
ist 110 deny udp any any eq 1434 


access-list 110 deny tcp any any gt 8090 
access-list 110 deny udp any any eq 8090 
access-list 110 permit ip any any 


然后 ,再 将 该 访问 列表 应 用 至 端口 或 VLAN. 在 入 和 出 双向 上 启用 该 列表 。 


ip access-group 110 in 


ip access-group 110 out 
下 例 显 示 如 何 将 access-list deny_unknow_device 应 用 于 10/100Mbps 接口 2 上 。 


Switch(config) # interface FastEthernet 0/2 
Switch (config-if) # ip access-list deny_unknow_device in 
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下 例 显 示 如 何 将 access-list accept_00d0f8xxxxxx_only 应 用 于 Gigabit 接口 2 上 。 


Switch(config)# interface GigabitEthernet 2/1 
Switch (config-if)# mac access-list accept_00d0fxxxxxx_only in 


由 于 只 能 将 一 条 ACL 应 用 到 一 个 接口 上 ,因此 不 可 能 同时 将 类 型 为 IP Standard 
Access-list ,IP Extended Access-list\MAC Extended Access-list 的 ACL 应 用 到 某 一 个 接 
口上 。 当 将 不 同类 型 的 ACL 应 用 到 某 一 个 接口 上 时 ,前 一 个 应 用 的 ACL 将 被 后 一 个 应 用 
的 ACL 所 替换 。 

2. MAC 访问 列表 

在 VLAN 或 二 层 接口 上 ,可 以 使 用 MAC 地 址 和 MAC 扩展 ACL 名 称 过 滤 非 IP 地 址 
通信 ,从 而 保障 企业 网 络 访问 安全 ,拒绝 非 授 权 用 户 对 敏感 部 门 的 访问 。 配 置 过 程 与 其 他 扩 
展 名 称 ACL 相似 。 

(1) 创建 端口 扩展 访问 列表 名 称 

创建 端口 扩展 访问 列表 名 称 的 步骤 如 下 。 

Q@ 进入 全 局 配置 模式 。 


Switch# configure terminal 
@ 为 扩展 MAC 地 址 列表 定义 一 个 名 称 , 进 入 扩展 MAC 地 址 列表 配置 模式 。 
Switch(config)# mac access-list extended name 


@ 定义 允许 或 拒绝 的 源 MAC 地 址 或 目的 MAC 地 址 。 使 用 host, 可 以 指定 特定 主机 
的 MAC 地址 ; 使 用 掩 码 ,可 以 指定 多 个 主机 的 MAC 地 址 。 


Switch (config-ext-mac)# {deny | permit} {any | host source MAC address | source MAC address 
mask) {any | host destination MAC address | destination MAC address mask} 


@ 返回 特权 配置 模式 。 
Switch(config-ext-mac) # end 

@ 校 验 当前 设置 。 

Switch# show access-lists name 

@ 保存 当前 配置 。 

Switch# copy running-config startup-config 


(2) 将 端口 访问 列表 应 用 到 二 层 接口 
将 端口 访问 列表 应 用 到 二 层 接口 的 步骤 如 下 。 
Q@ 进入 全 局 配置 模式 。 


Switch# configure terminal 
@ 指定 要 应 用 该 卫 访问 列表 的 二 层 接口 。 


Switch(config) # interface interface-id 
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@ 将 MAC 访问 列表 应 用 到 二 层 接口 。 注 意 , 该 命令 不 适用 于 Ether Channel。 
Switch(config-if)# mac access-group {name} {in} 
@ 返回 特权 配置 模式 。 
Switch(config-if) # end 
@ 校 验 当 前 设置 。 
Switch# show mac access-group [interface interface-id] 
@@ 保存 当前 配置 。 
Switch# copy running-config startup-config 


下 例 显示 如 何 创 建 及 显示 一 条 MAC Extended ACL, 以 名 字 macext 命名 。 该 MAC 扩 
展 ACL 拒绝 所 有 符合 指定 源 MAC 地 址 的 aarp 报 文 。 


Switch(config)# mac access-list extended macext 
Switch(config-ext-macl) # deny host 00d0.{800.0000 any aarp 
Switch(config-extrmacl) # permit any any 
Switch(config-extrmacl) # end 

Switch # show access-lists macext 

Extended MAC access list macext 

deny host 00d0. {800.0000 any aarp 

permit any any 

3. 创建 并 应 用 VLAN 访问 列表 

(1) 创建 VLAN 访问 列表 

创建 VLAN 访问 列表 的 步骤 如 下 。 

Q@ 进入 全 局 配置 模式 。 


Switch# configure terminal 


@ 创建 VLAN 映射 ,并 给 该 VLAN 访问 列表 定义 一 个 名 称 和 序号 ,进入 VLAN 访问 
列表 配置 模式 。 


Switch(config) # vlan access-map name [number] 
@ 为 VLAN 映射 设置 动作 ,默认 为 转发 (forward) 。 
Switch (config-access-map) # action {drop | forward) 


@ 借助 一 个 或 多 个 标准 或 扩展 访问 列表 匹配 包 ( 使 用 IP 或 MAC 地 址 )。IP 包 只 能 被 
标准 或 扩展 IP 访问 列表 匹配 ; 非 IP 包 只 能 被 MAC 扩展 访问 列表 匹配 。 


Switch (config-access-map)# match {ip | mac) address {name | number} [name | number] 
@ 返回 特权 配置 模式 。 
Switch(config-access-map)# end 


校 验 当前 设置 。 
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Switch# show running-config 

@ 保存 当前 配置 。 

Switch# copy running-config startup-config 
(2) 将 VLAN 访问 列表 应 用 到 VLAN 


将 VLAN 访问 列表 应 用 到 VLAN 的 步骤 如 下 。 
Q@ 进入 全 局 配置 模式 。 


Switch# configure terminal 

@ 将 VLAN 映射 应 用 至 一 个 或 多 个 VLAN。 可 以 使 用 “-” 或 “, ”指定 若干 VLAN。 
Switch(config) # vlan filter mapname vlan-list list 

@ 返回 特权 配置 模式 。 

Switch(config-access-map)# end 

@ 校 验 当前 设置 。 

Switch# show running-config 


@ 保存 当前 配置 


Switch# copy running-config startup-config 


4， 静 态 地 址 转换 的 实现 

所 谓 静 态 地 址 转换 是 指 将 合法 IP 地 址 一 一 对 应 地 转换 为 内 部 私有 IP 地 址 。 如 果 企 业 
网 络 获得 多 个 合法 IP 地 址 ,可 以 借助 静态 地 址 转换 方式 ,将 合法 IP 地 址 转换 为 内 部 服务 器 
的 IP 地址 ,从 而 实现 对 企业 网 络 和 Internet 对 服务 器 的 访问 。 

例如 ,内 部 网 络 使 用 的 IP 地 址 段 为 192. 168. 100. 1 一 192. 168. 100. 62, 路 由 器 局 域 网 
端口 ( 即 默 认 网 关 ) 的 下 地 址 为 192.168.100.1, 子 网 拖 码 为 255. 255. 255, 0。 网 络 分 配 
的 合法 耳 地 址 范围 为 121. 17. 46. 128 一 121. 17. 46. 135 ,路 由 器 广域网 中 的 IP 地 址 为 
121. 17. 46. 129, 子 网 掩 码 为 255. 255. 255. 248 ,可 用 于 转换 的 卫 地 址 为 121. 17. 46. 133。 要 求 
将 内 部 网 址 192. 168. 100. 2 一 192. 168. 100. 6 分 别 转换 为 合法 地址 121. 17. 46. 130 一 
121. 17. 46. 134。 

(1) 设置 外 部 端口 。 

interface serial 0/0 


ip address 121.17.46.133 255.255.255.248 
ip nat outside 


(2) 设置 内 部 端口 。 


interface fastethernet 0/0 
ip address 192.168.100.1 255.255.255.192 
ip nat inside 


(3) 在 内 部 本 地 地 址 与 内 部 合法 地 址 之 间 建 立 静 态 地 址 转换 。 


ip nat inside souree static 内 部 本 地 地 址 内 部 合法 地 址 
示例 : 


ip nat inside source static 192.168.100.2 121.17.46.130 


!-- 将 内 部 网 络 地 址 192.168.100.2 转换 为 合法 IP 地 址 121. 


ip nat inside source static 192.168.100.3 121.17.46.131 


!-- 将 内 部 网 络 地 址 192.168.100.3 转换 为 合法 IP 地 址 121. 


ip nat inside source static 192.168.100.4 121.17.46.132 


!-- 将 内 部 网 络 地 址 192.168.100.4 转换 为 合法 IP 地 址 121. 


ip nat inside source static 192.168.100.5 121.17.46.133 


!-- 将 内 部 网 络 地 址 192.168.100.5 转换 为 合法 IP 地 址 121. 


ip nat inside source static 192.168.100.6 121.17.46.134 


!-- 将 内 部 网 络 地 址 192.168.100.6 转换 为 合法 IP 地 址 121. 


至 此 ,静态 地 址 转换 配置 完毕 。 
5. 动态 地 址 转换 的 实现 


17.46. 


17.46. 


17.46. 


17.46. 


17.46. 
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所 谓 动 态 地 址 转换 是 指 将 内 部 私有 IP 地 址 动态 地 转换 为 合法 IP 地 址 池内 的 IP 地 址 ， 
对 应 关系 是 不 固定 的 。 如 果 企 业 网 络 获得 多 个 合法 IP 地 址 ,可 以 借助 动态 地 址 转换 方式 ， 


实现 Internet 连接 共享 。 


例如 ,内 部 网 络 使 用 的 全 地 址 段 为 172. 16. 100. 1 一 172. 16. 100. 254, 路 由 器 局 域 网 端口 
〈 即 默认 网 关 ) 的 下 地 址 为 172.16.100.1, 子 网 拖 码 为 255. 255. 255.0。 网 络 分 配 的 合法 IP 地 
址 范围 为 121. 17. 46. 128 一 121. 17. 46. 191 ,路 由 器 广域网 中 的 IP 地 址 为 121. 17. 46. 129, 子 网 
掩 码 为 255.255. 255. 192, 可 用 于 转换 的 IP 地 址 范围 为 121. 17. 46. 130 一 121. 17. 46. 190 。 
要 求 将 内 部 网 址 172. 16. 100. 1 一 172. 16. 100. 254 动态 转换 为 合法 IP 地 址 121. 17. 46. 130 一 


121. 17. 46. 190。 
(1) 设置 外 部 端口 。 
设置 外 部 端口 命令 的 语法 如 下 。 
ip nat outside 
示例 : 
interface serial 0/0 


!-- 进 入 串 行 端口 serial 0/0 
ip address 121.17.46.129 255.255.255.248 


!-- 将 其 IP 地 址 指定 为 121.17.46.129, 子 网 掩 码 为 255.255.255.248 


ip nat outside 

!-- 将 串 行 口 serial 0/0 设置 为 外 部 端口 
!-- 注 意 ,可 以 定义 多 个 外 部 端口 

(2) 设置 内 部 端口 。 

设置 内 部 端口 命令 的 语法 如 下 。 
ip nat inside 

示例 : 


interface fastethernet 0/0 
!-- 进 入 快速 以 太 网 端口 fastethernet 0/0 
ip address 172.16.100.1 255.255.255.0 
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!-- 将 其 IP 地 址 指定 为 172.16.100.1, 子 网 掩 码 为 255.255.255.0 

ip nat inside 

!-- 将 fastethernet 0/0 设置 为 内 部 端口 

!-- 注 意 , 可 以 定义 多 个 内 部 端口 

(3) 定义 合法 IP 地 址 池 。 

定义 合法 IP 地 址 池 命 令 的 语法 如 下 。 

ip nat pool 地 址 池 名 称 起 始 IP 地 址 终止 IP 地 址 子 网 掩 码 

其 中 ,地 址 池 名 字 可 以 任意 设 定 。 

示例 : 

ip nat pool chinanet 121.17.46.130 121.17.46.190 netmask 255.255.255.192 

上 -指明 地 址 缓冲 池 的 名 称 为 chinanet,IP 地 址 范围 为 121.17.46.130 一 121.17.46.190 

上 - 子 网 掩 码 为 255.255.255.192. 需 要 注意 的 是 ,即使 掩 码 为 255. 255.255.0, 也 会 由 起 始 IP 地 址 和 

终止 IP 地 址 对 IP 地 址 池 进行 限制 

!-- 或 ip nat pool test 121.17.46.130 121.17.46.190 prefix-length 26 

(4) 定义 内 部 网 络 中 允许 访问 Internet 的 访问 列表 。 

定义 内 部 访问 列表 命令 的 语法 如 下 。 

access-list 标号 permit 源 地 址 通配符 

其 中 ,标号 为 1 一 99 之 间 的 整数 。 

示例 : 

access-list 1 permit 172.16.100.0 0.0.0.255 

!-- 允 许 访 问 Internet 的 网 段 为 172.16.100.0 一 172.16.100.255, 主机 掩 码 为 0.0.0.255 

需要 注意 的 是 ,在 这 里 采用 的 是 主机 掩 码 ,而 非 子 网 掩 码 。 子 网 掩 码 与 主机 掩 码 的 关系 
为 : 主机 掩 码 十 子 网 掩 码 二 255. 255.255. 255, 例 如 , 子 网 掩 码 为 255. 255. 0.0, 则 主机 掩 码 
为 0.0.255.255; 子 网 掩 码 为 255. 0. 0.0, 则 主机 掩 码 为 0. 255. 255. 255; 子 网 掩 码 为 255. 
255.0.0, 则 主机 掩 码 为 0. 3. 255.255; 子 网 掩 码 为 255. 255. 255. 192, 则 主机 掩 码 为 0. 0. 0. 63。 

另外 ,如 果 想 将 多 个 IP 地 址 段 转换 为 合法 IP 地 址 ,可 以 添加 多 个 访问 列表 ,例如 , 当 欲 
将 172. 16. 98. 0 一 172. 16. 98. 255 和 172. 16. 99. 0 一 172. 16. 99. 255 转换 为 合法 IP 地 址 时 ， 
应 当 添 加 下 述 命令 。 

access-list 2 permit 172.16.98.0 0.0.0.255 

access-list 2 permit 172.16.99.0 0.0.0.255 


(5) 实现 网 络 地址 转换 。 

在 全 局 设置 模式 下 .将 由 access-list 指定 的 内 部 本 地 地 址 与 指定 的 内 部 合法 地 址 池 进 
行 地 址 转换 。 命 令 语法 如 下 。 

ip nat inside source list 访问 列表 标号 pool 内 部 合法 地 址 池 名 字 

示例 : 

ip nat inside source list 1 pool chinanet 


如 果 有 多 个 内 部 访问 列表 ,可 以 一 一 添加 ,以 实现 网 络 地 址 转换 。 
示例 : 


ip nat inside source list 2 pool chinanet 
ip nat inside source list 2 pool chinanet 


至 此 ,动态 地 址 转换 设置 完毕 。 


10.3 网 络 安全 设备 管理 


无 论 是 大 中 型 企业 网 络 , 还 是 小 型 家 庭 办 公 网 络 , 对 网 络 安全 方面 的 要 求 一 直 保持 上 升 
趋势 。 解 决 网 络 安全 问题 最 常用 的 防护 手段 就 是 安装 相应 的 安全 设备 ,尤其 是 对 于 大 中 
型 规模 的 网 络 而 言 ,网络 安全 设备 更 是 实现 网 络 安全 必 不 可 少 的 装备 。 网 络 安全 设备 目 
前 主要 包括 4 种 类 型 , 即 防火 墙 .IDS、IPS 和 漏洞 扫描 器 ,在 当前 网 络 中 主要 使 用 的 是 防 
火 墙 。 


10.3.1 网 络 安 全 设备 概述 


防火 墙 (Fire Wall) 是 目前 最 重要 的 一 种 网 络 防护 设备 。 网 络 防火 墙 的 主要 功能 就 是 
抵御 外 来 非法 用 户 的 入侵 ,就 像 是 意 立 在 内 部 网 络 和 外 部 网 络 之 间 的 一 道 安 全 屏障 。 外 部 
网 络 用 户 的 访问 必须 先 经 过 安全 策略 过 滤 ,而 内 部 网 络 用 户 对 外 部 网 络 的 访问 则 无 须 过 滤 。 
这 些 过 滤 策 略 就 是 防火 墙 工 作 的 主要 依据 。 另 外 ,网 络 防火 墙 还 具有 隔离 网 段 .提供 代理 服 
务 和 流量 控制 等 功能 ,可 以 满足 用 户 的 各 种 需求 。 图 10-1 所 示 为 Cisco ASA 5510 防火 墙 。 

防火 墙 的 主要 功能 有 以 下 几 个 方面 。 2 

(1) 创建 一 个 阻塞 点 

防火 墙 在 内 部 网 络 和 外 部 网 络 之 间 建 立 一 个 检查 图 10-1 Cisco ASA 5510 
点 ,这 就 要 求 所 有 的 数据 包 都 要 通过 这 个 检查 点 。 一 旦 
这 些 检查 点 建立 ,防火 墙 设备 就 可 以 监视 .过滤 和 检查 所 有 进来 和 出 去 的 流量 ,网 络 安全 产 
业 称 这 些 检 查 点 为 “阻塞 点 ”。 通 过 强制 所 有 进出 流量 都 通过 这 些 检查 点 ,网 络 管理 员 可 以 
集中 在 较 少 地 方 来 实现 安全 目的 。 如 果 没 有 这 样 一 个 供 监视 和 控制 信息 的 点 ,系统 或 安全 
管理 员 则 要 在 大 量 的 地 方 来 进行 监测 ,其 实 这 个 检查 点 也 就 是 网 络 边界 。 

(2) 隔离 不 同 的 网 络 

防火 墙 最 基本 的 功能 就 是 隔离 内 外 网 络 ,不 仅 确保 不 让 非法 用 户 和 人 侵 ,更 要 保证 内 部 信 
息 的 不 外 泄 。 非 法 用 户 的 入 侵 主要 是 通过 获取 对 方 的 用 户 名 和 密码 ,以 及 其 他 一 些 重要 的 
信息 来 实现 的 ,企业 网 络 的 内 部 数据 更 是 黑客 逆 饥 已 久 的 “ 肥 肉 "。 内 部 网 络 中 不 被 人 注意 
的 一 个 细节 可 能 包含 了 有 关 安 全 的 线索 ,从 而 为 攻击 者 留 下 可 乘 之 机 。 使 用 防火 墙 则 可 以 
屏蔽 这 些 内 部 细节 ,如 Finger 和 DNS 等 服务 。Finger 服务 可 以 显示 主机 的 所 有 用 户 的 注 
册 名 、 真 名 、 最 后 登录 时 间 和 使 用 Shell 类 型 等 ,Finger 显示 的 信息 非常 容易 被 攻击 者 截获 。 
攻击 者 通过 所 获取 的 信息 可 以 知道 一 个 系统 使 用 的 频繁 程度 ,这 个 系统 是 否 有 用 户 正在 连 
线 上 网 等 信息 。 

(3) 强化 网 络 安全 策略 

通过 以 防火 墙 为 中 心 的 安全 方案 配置 ,能 将 所 有 安全 软件 (如 密码 .加 密 、 身 份 证 和 审计 
等 ) 设 置 在 防火 墙 上 。 这 比 将 网 络 安全 分 散 到 每 个 主机 上 ,管理 更 集中 而 且 更 经 济 。 各 种 安 
全 措施 的 有 机 结合 .更 能 有 效 地 对 网 络 安全 性 能 起 到 加 强 作用 。 
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(4) 包 过 滤 

包 过 滤 是 所 有 防火 墙 都 具有 的 基本 功能 。 由 最 初 的 IP 地址、 端口 判定 控制 ,到 今天 的 
判断 通信 报 文 协议 头 的 各 部 分 ,以 及 通信 协议 的 应 用 层 命令 内容, 用户 认证 .用 户 规则 甚至 
状态 检测 等 ,无 不 标志 着 包 过 滤 的 进步 。 特 别 是 状态 监测 技术 ,可 以 支持 多 种 协议 和 应 用 程 
序 , 并 可 以 很 容易 地 实现 应 用 层 的 扩充 。 它 在 现 有 协议 栈 中 加 载 一 个 检测 模块 ,模块 在 网 络 
层 截取 数据 包 ,然后 在 所 有 的 通信 层 上 抽取 有 关 的 状态 信息 ,根据 该 状态 位 判断 该 通信 是 和 否 
村 合 安全 策略 。 

(5) 网 络 地 址 转换 

网 络 地 址 转换 (Network Address Translation ,NAT) 功 能 似乎 已 经 成 了 防火 墙 的 “ 隐 
身 术 ”, 绝 大 多 数 防火 墙 都 加 入 了 该 功能 。 目 前 防火 墙 一 般 采 用 双向 NAT: SNAT 和 
DNAT。SNAT 用 于 对 内 部 网 络 地 址 进行 转换 ,对 外 部 网 络 隐藏 内 部 网 络 的 结构 ,使 得 对 
内 部 的 攻击 更 加 困难 ,并 可 以 节省 IP 资源 ,有 利于 降低 成 本 。 而 DNAT 主要 实现 外 网 主机 
对 内 网 和 DMZ 区 主机 的 访问 。 

(6) 流量 控制 和 统计 分 析 

流量 控制 可 以 分 为 基于 IP 地 址 的 控制 和 基于 用 户 的 控制 。 基 于 IP 地 址 的 控制 是 对 通过 
防火 墙 各 个 网 络 接口 的 流量 进行 控制 。 基 于 用 户 的 控制 是 通过 用 户 登 录 来 控制 每 个 用 户 的 流 
量 , 从 而 防止 某 些 应 用 或 用 户 占 用 过 多 的 资源 。 并 且 通 过 流量 控制 可 以 保证 重要 用 户 和 重要 
接口 的 连接 。 流 量 统计 是 建立 在 流量 控制 基础 之 上 的 。 一 般 防 火 墙 通过 对 基于 IP、 服 务 .时 间 和 
协议 等 的 数据 进行 统计 ,并 可 以 与 管理 界面 实现 挂 接 , 实 时 或 者 以 统计 报表 的 形式 输出 结果 。 

(7) URL 级 信息 过 滤 

它 是 代理 模块 常常 实现 的 一 部 分 ,很 多 厂家 把 这 个 功能 单独 提取 出 来 , 它 其 实 是 和 代理 
模块 一 起 实现 的 。URL 过 滤 用 来 控制 内 部 网 络 对 某 些 站 点 的 访问 ,如 禁止 访问 某 些 站 点 、 
禁止 访问 站 点 下 的 某 些 目录 、 只 允许 访问 某 些 站 点 或 者 其 下 面 的 文件 和 目录 等 。 


10.3.2 Cisco ASDM 配置 


Cisco 自 适 应 安全 设备 管理 器 (Adaptive Security Device Manager, ASDM) 通 过 一 个 直 
观 . 易 用 、 基 于 Web 的 管理 界面 ,提供 了 世界 级 的 安全 管理 和 监控 服务 。 结 合 Cisco ASA 
5500 系列 自 适应 安全 设备 和 Cisco PIX 安全 设备 ,Cisco ASDM 提供 的 智能 向 导 、 强 大 的 管 
理工 具 和 灵活 的 监控 服务 ,进一步 增强 Cisco 安全 设备 套件 提供 的 先进 的 集成 安全 和 网 络 
功能 ,从 而 加 速 安全 设备 的 部 署 。 其 基于 Web 的 安全 设计 可 使 用 户 能 随时 随地 访问 Cisco 
ASA 5500 系列 自 适应 安全 设备 和 Cisco PIX 安全 设备 。 

1. Cisco ASDM 简介 eel 

作为 自 适应 安全 设备 管理 器 , Cisco ASDM (如 


图 10-2 所 示 ) 以 图 形 界面 方式 ,配置 和 管理 Cisco PIX 国宝 光 和 和 人 人 人 


Device Manager 


和 Cisco ASA 安全 设备 。 

Cisco ASDM 具有 如 下 特点 。 

(1) 集成 化 管理 提高 管理 效率 

网 络 上 任何 支持 Java 插件 的 计算 机 ,都 可 以 借助 
Web 浏览 器 访问 Cisco ASDM ,使 安全 管理 员 能 迅速 、 图 10-2 Cisco ASDM 
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安全 地 访问 自己 的 Cisco ASA 和 Cisco PIX 设备 。 为 管理 员 提 供 了 基于 Windows 的 全 新 
配置 方式 ,管理 员 可 从 单一 管理 工作 站 连接 多 个 安全 设备 ,从 而 提高 了 配置 和 管理 安全 设备 
的 效率 。 

(2) 启动 向 导 加 速 安全 设备 的 部 署 

Cisco ASDM 拥有 一 个 启动 向 导 , 加 速 了 安全 设备 部 署 流程 。 一 系列 简单 的 渐进 式 配 
置 界面 ,可 帮助 管理 员 快 速 启动 和 运行 设备 ,创建 使 流量 能 安全 地 在 网 络 中 传输 的 稳固 配 
置 。 该 启动 向 导 能 配置 多 种 可 选 特性 ,如 动态 主机 控制 协议 (DHCP) 服 务 器 设置 网络 地 址 
转换 (NAT) ,管理 员 访 问 和 自动 更 新 。 自 动 更 新 是 一 个 具 革 命 性 意义 的 远程 管理 功能 ,可 
确保 设备 配置 和 软件 镜像 保持 最 新 状态 。 

(3) 仪表 盘 提 供 重 要 实时 系统 状态 信息 

Cisco ASDM 拥有 一 个 动态 仪表 盘 , 提供 全 面 的 系统 概述 和 设备 状态 统计 数据 概览 。 
可 自动 检测 所 配置 的 Cisco 安全 设备 ,并 显示 每 个 设备 的 软件 版 本 、 许 可 信息 和 重要 统计 数 
据 。 在 复杂 的 网 络 环境 中 ,不 仅 为 管理 员 提 供 了 实时 状态 指示 灯 , 还 为 强大 的 分 析 工 具 和 高 
级 监控 功能 提供 了 启动 点 。 其 实时 系统 日 志 浏览 器 ,具有 模式 匹配 功能 ,可 根据 网 络 地 址 、 
端口 号 .主机 名 等 过 滤 系 统 日 志 。 此 外 ,还 提供 了 一 个 强大 的 搜索 引擎 ,可 帮助 管理 员 确定 
在 何 处 配置 特定 特性 ,只 需 单 击 鼠 标 即 可 方便 地 获得 搜索 结果 。 

(4) 安全 策略 管理 降低 运营 成 本 

Cisco ASDM 强大 的 管理 服务 功能 ,简化 了 安全 策略 定义 和 持续 策略 维护 ,使 安全 管理 
员 能 创建 可 重复 使 用 的 网 络 和 服务 对 象 组 ,以 及 可 实施 多 项 安全 策略 的 策略 检测 图 。 支 持 
范围 广泛 的 访问 控制 功能 ,如 基于 用 户 和 用 户 组 的 访问 列表 、 基 于 时 间 的 访问 列表 ,以 及 进 / 
出 访问 列表 。 管 理 员 可 根据 不 同 条 件 划 分 网 络 流 或 流量 级 别 , 然 后 ,向 每 个 流 或 流量 级 别 应 
用 一 套 可 定制 的 检测 服务 、 服 务 质量 (QoS) 服 务 和 连接 服务 。 这 些 先进 的 访问 控制 和 应 用 
检测 功能 ,与 易 用 的 持续 策略 管理 服务 相配 合 , 可 确保 各 种 规模 的 企业 都 能 获得 强大 动态 
的 安全 设置 。 

(5) 安全 服务 实现 基于 角色 的 、 安 全 的 管理 访问 

Cisco ASDM 集成 了 一 系列 强大 的 安全 服务 ,可 防止 对 设备 进行 未 授权 管理 访问 。 支 
持 多 种 验证 管理 员 的 方法 ,如 Cisco ASA 或 Cisco PIX 的 本 地 验证 数据 库 ,或 者 由 
RADIUS/TACACS 服务 器 进行 验证 。Cisco ASDM (运行 在 管理 员 计算 机 上 ) 和 安全 设备 
间 的 所 有 通信 ,都 通过 采用 56 位 数据 加 密 标准 (DES) ,或 者 更 安全 的 168 位 三 重 DES 
(3DES) 算 法 的 安全 套 接 字 层 (SSL) 加密 。Cisco ASDM 支持 多 达 16 级 可 定制 管理 访问 级 
别 , 为 管理 员 和 操作 人 员 提 供 相 应 的 许可 级 别 , 来 访问 所 管理 的 每 个 Cisco 安全 设备 (如 仅 
限 监控 \、 只 读 访问 配置 等 )。 

2. 安全 策略 设置 

FWSM/ASA/PIX 连接 互联 网 ,在 只 有 内 、 外 两 个 安全 区 域 时 ,内 网 用 户 仅 是 单纯 的 上 
网 访问 ,在 安全 策略 设置 上 ,通常 包括 以 下 几 种 设置 。 

(1) 内 到 外 全 部 允许 ,外 到 内 全 部 拒绝 。 

(2) 内 到 外 和 外 到 内 都 要 做 ACL 控制 .映射 NAT。 

(3) 设置 IPSec、12TP、SSLVPN。 

当今 的 安全 威胁 需要 用 新 的 方法 消除 ,要 实现 全 面 的 应 用 安全 性 ,需要 提高 对 整个 网 络 
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中 的 应 用 的 敏感 性 ,而 不 是 用 一 种 方法 保护 网 络 中 的 所 有 应 用 。 每 种 应 用 都 需要 一 组 通用 
服务 ,以 及 其 他 应 用 专用 检测 服务 。 这 些 应 用 检测 服务 必须 满足 当今 网 络 的 性 能 和 服务 要 
求 ,所 有 要 求 都 必须 与 清晰 、 全 面 的 架构 密切 相连 ,以 便 灵 活 地 部 署 和 实施 应 用 安全 策略 。 
Cisco ASA 5500 系列 自 适应 安全 设备 不 但 能 提供 新 型 应 用 保护 方法 ,还 能 保护 关键 业务 应 
用 的 可 用 性 和 完整 性 。 

Cisco ASA 5500 系列 通过 自 适应 识别 和 防御 架构 ,进一步 提高 了 网 络 的 安全 性 和 策略 
控制 。 利 用 遍及 所 有 主要 网 络 协议 的 应 用 安全 检测 引擎 ,Cisco ASA 5500 系列 允许 部 署 全 
面 的 应 用 安全 策略 。 每 种 检测 引擎 都 监控 应 用 流 , 并 能 够 标示 和 阻止 针对 特定 协议 的 非法 
操作 。 图 10-3 所 示 为 安全 策略 的 设置 窗口 。 


图 10-3 安全 策略 


3. DMZ 配置 
DMZ 网 络 拓 扑 结构 (如 图 10-4 所 示 ) 具 有 如 下 特征 。 


HTTP 客 户 端 安全 设备 


HTTP 服 务 器 


图 10-4 DMZ 拓扑 结构 


Q@ Web 服务 器 连接 至 安全 设备 的 DMZ 接口 。 

@ HTTP 客户 端 位 于 私有 网 络 , 可 以 访问 位 于 DMZ 中 的 Web 服务 器 ,并 且 可 以 访问 
Internet 中 的 设备 。 

图 Internet 中 的 HTTP 客户 端 允 许 访 问 DMZ 区 的 Web 服务 器 , 除 此 之 外 的 其 他 所 有 


的 通信 都 被 禁止 。 

@ 网 络 有 两 个 可 路 由 的 IP 地 址 可 以 被 公开 访问 : 安全 设备 外 部 端口 的 IP 地 址 为 
209. 165. 200. 225,DMZ 中 Web 服务 器 的 公开 IP 地 址 为 209. 165. 200. 226 。 

(1) 运行 ASDM 

运行 ASDM 的 步骤 如 下 。 

@ 打开 Web 浏览 器 ,在 地 址 栏 中 输入 安全 设备 的 全 地 址 : https://211. 82. 216. 166/ 
admin/ ,显示 图 10-5 所 示 的 Cisco ASDM 6.0 对 话 框 。 

@ 单 击 Run ASDM 按钮 ,显示 图 10-6 所 示 的 Cisco ASDM Launcher v1. 5(22) 程 序 的 
登录 窗口 。 根 据 实际 情况 ,输入 IP 地 址 、 用 户 名 和 密码 。 
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图 10-5 Cisco ASDM 6.0 对 话 框 图 10-6 Cisco ASDM Launcher v1. 5(22) 


登录 窗口 


@ 单 击 OK 按钮 ,显示 图 10-7 所 示 的 Cisco ASDM 6.0 for ASA 主 窗口 。 


图 10-7 Cisco ASDM 6.0 for ASA 主 窗口 
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(2) 为 NAT 创建 IP 地 址 池 

安全 设备 使 用 网 络 地 址 转换 和 端口 地 址 转换 防止 内 部 IP 地 址 暴露 在 外 部 网 络 或 
Internet 中 。 这 里 介绍 如 何 为 DMZ 接口 和 外 部 接口 创建 一 个 可 以 被 转换 的 IP 地 址 池 。 

提示 : 一 个 卫 地 址 池 可 以 同时 包含 NAT 和 PAT 条 目 , 也 可 以 包含 一 个 以 上 接口 的 
条 目 。 

首先 指定 DMZ 的 IP 地 址 范围 。 

@O 在 ASDM 窗口 工具 栏 , 单 击 Configuration 图 标 ,在 左 侧 栏 中 选择 Firewall 选项 区 域 
中 的 NAT Rules 规则 选项 ,显示 图 10-8 所 示 的 窗口 。 
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图 10-8 NAT Rules 规则 


@ 在 右 侧 栏 中 选择 Global Pools 选项 卡 , 单 击 Add 按钮 ,显示 图 10-9 所 示 的 Add 
Global Address Pool 对 话 框 ,为 DMZ 接口 创建 一 个 新 的 全 局 地 址 池 。 

@ 从 Interfaces 下 拉 列 表 框 中 ,选择 DMZ 
选项 ,在 Pool ID 文本 框 中 输入 新 创建 地 址 池 的 


ID 号 ,如 1。 Pe sn Pi 
@ 在 IP Addresses to Add 选项 区 域 .指定 ] 
DMZ 接口 使 用 的 IP 地 址 范围 。 
@ 单 击 Add 按钮 ,将 该 IP 地址 范围 添加 至 i 
Addresses Pool。 OP 
单 击 OK 按钮 ,返回 至 NAT Rules [rm | em | er) 
窗口 。 


10-9 Add Global Address Pool 对 话 框 
然后 为 外 部 端口 指定 IP 地 址 池 。 为 外 部 端 


口 指定 IP 地 址 被 用 于 转换 私有 IP 地 址 ,从 而 实现 内 部 客户 端 对 Internet 的 安全 访问 。 佛 
助 PAT 技术 ,可 以 使 用 同一 合法 IP 地 址 将 内 部 不 同 的 服务 器 发 布 至 Internet。 

在 NAT Rules 窗口 右 侧 选择 Global Pools 选项 卡 , 单 击 Add 按钮 ,显示 图 10-10 所 
示 的 Add Global Address Pool 对 话 框 。 
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@ 在 Interface 下拉 列表 框 中 ,选择 outside 
选项 ,为 外 部 接口 指定 地 址 池 ID 号 ,例如 2。 可 
以 将 这 些 地 址 添加 到 与 DMZ 接口 相同 的 IP 地 
址 池 。 

@ 选中 Port Address Translation (PAT) 
using IP Address of the interface 单 选 按 钮 , 单 Ri a 
击 Add 按钮 将 该 地 址 添加 至 Addresses Pool。 Oe te | 

@ 单 击 OK 按钮 ,返回 Cisco ASDM 配置 Ce Cw) Ce 
和 窗口。 确认 配置 无 误 后 ,在 ASDM 主 窗 口中 , 单 
击 Apply 按钮 即 可 。 

(3) 配置 内 部 客户 端 访问 DMZ 区 的 Web 服务 器 

在 上 述 配置 中 ,为 内 部 客户 端 设置 了 安全 的 私有 IP 地 址 池 ,还 需要 配置 一 条 NAT 规 
则 ,用 于 实现 内 部 客户 端 对 DMZ 区 域 中 Web 服务 器 的 安全 访问 。 

@O 在 ASDM 主 窗 口 工具 栏 中 , 单 击 Configuration 图 标 。 在 左 侧 栏 中 选择 NAT Rules 
选项 ,显示 图 10-11 所 示 的 NAT Rules 规则 窗口 。 


图 10-10 为 外 部 接口 指定 地 址 池 ID 号 
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10-11 NAT Rules 规则 窗口 


@ 在 Add 下 拉 列 表 框 中 选择 Add Dynamic NAT Rule 命令 ,显示 图 10-12 所 示 的 Add 
Dynamic NAT Rule 对 话 框 。 

Q@ 在 Original 选项 区 域 ,指定 被 转换 的 IP 地 址 。 从 Interface 下 拉 列 表 框 中 ,选择 
inside 选项 ,在 Source 文本 框 中 ,输入 内 部 客户 端 使 用 的 IP 网 络 号 。 

@ 在 Translated 选 项 区 域 ,指定 转换 的 目的 了 P 地 址 。 从 Interface 下 拉 列 表 框 中 , 选 
择 DMZ 选 项 ,指定 该 地 址 池 使 用 动态 NAT 规则 。 选 中 Select 复 选 框 , 选 择 全 局 地 址 
池 ID。 

提示 : 如 果 欲 添加 的 地 址 池 不 存在 ,可 以 单 击 Add 按钮 创建 新 的 IP 地 址 池 。 
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加 单 击 OK 按钮 ,添加 动态 NAT 规 
则 ,并 返回 至 NAT Rules 窗口 。ASDM 将 
添加 两 条 规则 ,因为 同一 IP 地 址 池 同 时 被 
转换 使 用 。 

(4) 配置 内 部 客户 端 访问 Internet 

在 以 上 述 配 置 中 ,借助 NAT 规则 ,可 
以 实现 内 部 客户 端 对 DMZ 区 中 Web 服务 
器 的 访问 。 当 然 ,借助 NAT 规则 也 应 当 能 
够 实现 内 部 客户 端 对 Internet 的 访问 。 不 
过 ,管理 员 无 须 再 创建 任何 规则 ,因为 IP 地 
址 池 包 括 了 两 种 需要 转换 的 地 址 , 即 DMZ 接口 使 用 的 IP 地 址 和 外 部 接口 使 用 的 IP 地 址 。 

(5) 为 Web 服务 器 配置 外 部 ID 

DMZ 中 的 Web 服务 器 需要 为 Internet 中 所 有 的 主机 提供 访问 服务 。 该 配置 需要 将 
DMZ 中 的 Web 服务 器 的 和 有 IP 地 址 转换 为 公有 IP 地 址 ,允许 外 部 HTTP 客户 端 实现 对 
Web 服务 的 访问 。 

Oz 在 ASDM 主 窗口 工具 栏 中 , 单 击 Configuration 图 标 。 在 左 侧 栏 中 选择 Firewall 选 
项 区 域 中 的 NAT Rules 选项 ,从 Add 下拉 列 表 框 中 ,选择 Add Static NAT Rule 选项 ,显示 
图 10-13 所 示 的 Add Static NAT Rule 对 话 框 。 

局 Ra @ 从 Original 选项 区 域 的 Interface 下 拉 列 表 框 中 选择 


图 10-12 Add Dynamic NAT Rule 对 话 框 


< 可 DMZ 接口 ; 在 Source 文本 框 中 ,输入 DMZ 区 Web 服务 器 
Ee 9 的 IP 地址 。 

em 和 站 @ 在 Translated 选项 区 域 ,指定 Web 服务 器 使 用 的 公 
本 有 IP 地 址 。 从 Interface 下 拉 列 表 框 中 ,选择 outside 选项 ， 


机 从 Use IP Address 下 拉 列 表 框 中 ,选择 DMZ 区 Web 服务 
一 器 使 用 的 公有 IP 地 址 。 

@ 单 击 OK 按钮 ,添加 规则 并 返回 NAT Rules 窗口 。 

加 单 击 Apply 按钮 ,保存 安全 配置 的 修改 。 

(6) 允许 Internet 用 户 访 问 DMZ 的 Web 服务 

图 10-13 Add Static NAT Rule 默认 情况 下 ,安全 设备 禁止 来 自 公 共 网 络 的 所 有 通信 。 
对 话 框 因此 ,必须 创建 一 个 安全 规则 ,允许 来 自 Internet 用 户 对 
DMZ 区 中 Web 服务 器 的 访问 , 即 允 许 来 源 于 Internet 任意 

用 户 的 针对 DMZ 中 Web 服务 器 的 流入 和 流出 的 HTTP 通信 。 

OO 在 ASDM 主 窗口 工 具 栏 中 , 单 击 Configuration 图 标 。 在 左 侧 栏 中 选择 Security 
Policy 选项 ,从 Add 下 拉 列 表 框 中 ,选择 Add Access Rule 选项 ,显示 图 10-14 所 示 的 Add 
Access Rule 对 话 框 。 

@ 在 Interface 下 拉 列 表 框 中 选择 outside 选项 ; 在 Action 选项 区 域 中 ,选中 Permit 单 
选 按钮 。 

@ 在 Source 下 拉 列 表 框 中 ,设置 允许 发 起 访问 的 源 全 地址 , 单 击 忆 按钮 ,显示 图 10-15 
所 示 的 Browse Source 对 话 框 。 


图 10-14 Add Access Rule 对 话 框 图 10-15 ”Browse Source 对 话 框 


@ 在 Destination 下 拉 列 表 框 中 设置 允许 访问 的 目的 IP 地 址 , 单 击 回 按 钮 ,显示 
图 10-16 所 示 的 Browse Destination 对 话 框 。 

@ 在 Service 下 拉 列 表 框 中 指定 IP 地 址 , 单 击 回 按钮 ,显示 图 10-17 所 示 的 Browse 
Service 对 话 框 。 


TT 
ae 
ee rn |e | mm el | oii 
+ 
昌 是 
站 
ai 3 
yp 
igs eer 
之 四 om 
PT 十 一 
天 二 一 人 
i tm 
之 im er 
Sr 
yr 
i 
nf 
了 ie “ma 
二 | 
Lm “mm EL 
下 te bd | 
PP 
Se sm 
四 
CE Cm 
图 10-16 ”Browse Destination 对 话 框 10-17 Browse Service 对 话 框 


@ 在 Description 文本 框 中 ,输入 DMZ 描述 信息 。 

@ 单 击 More Options 下 拉 按 钮 ,显示 图 10-18 所 示 的 Add Access Rule 对 话 框 。 

图 单 击 Source Service 下 拉 列 表 框 右 侧 的 辐 j] 按 钮 ,显示 图 10-19 所 示 的 Browse 
Source Service 对 话 框 ,添加 TCP 或 UDP 服务 。 具 体内 容 参 见 相关 内 容 , 这 里 不 再 袭 述 。 

加 确认 无 误 后 , 单 击 OK 按钮 ,返回 Cisco ASDM 主页 面 ,确认 配置 信息 是 否 正确 。 然 
后 , 单 击 Apply 按钮 保存 配置 。 此 时 ,私有 网 络 和 Internet 中 的 所 有 客户 端 ,将 都 可 以 访问 
DMZ 区 中 的 Web 服务 了 。 
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图 10-18 Add Access Rule 对 话 框 图 10-19 ”Browse Source Service 对 话 框 


4. IPSec VPN 远程 访问 配置 
IPSec VPN 远程 访问 非常 适用 于 远程 移动 用 户 ,借助 Internet 或 其 他 公用 网 络 ,实现 与 
公司 网 络 的 安全 、 廉 价 连接 ,图 10-20 所 示 为 IPSec VPN 远程 访问 的 拓扑 结构 。 


DNS 服务 器 YE 计 贞 
211.82.216.5 [ 
< 


图 10-20 IPSec VPN 远程 访问 的 拓扑 结构 


在 配置 IPSec VPN 远程 访问 之 前 , 需 确认 如 下 信息 。 

(1) IPSec VPN 远程 客户 端 使 用 的 IP 地 址 池 范围 。 

(2) 在 本 地 认证 数据 库 中 创建 用 户 列表 ,或 者 使 用 AAA 服务 器 实现 认证 。 

(3) 当 VPN 连接 时 ,远程 客户 端 使 用 的 网 络 信息 ,包括 : 主 DNS 服务 器 和 辅助 DNS 
服务 器 的 IP 地 址 .默认 域名 和 认证 远程 客户 端 可 访问 的 本 地 主机 ` 组 和 网 络 的 IP 地 址 
列表 。 

配置 IPSec 远程 访问 VPN 的 步 又 如 下 。 

(1) 运行 Cisco ASDM 程序 ,显示 图 10-21 所 示 的 A5510-SSLVPN 主 窗口 ,在 该 窗口 中 
显示 设备 的 基本 信息 。 

(2) 单 击 Configuration 按钮 ,在 左 侧 列表 框 中 选择 Remote Access VPN 选项 ,配置 远 
程 访 问 VPN ,如 图 10-22 所 示 。 

配置 远程 访问 VPN 网 络 客户 端 访问 包括 以 下 内 容 。 

Q@ SSL VPN 连接 配置 文件 。 


ES ee 


图 10-21 A5510-SSLVPN 主 窗口 


bee 加 加 Be erm 


图 10-22 Remote Access VPN 选项 


@ IPSec 连接 配置 文件 。 

@ 组 策略 。 

@ Dynamic 访问 策略 。 

加 地 址 分 配 。 

@ 高 级 。 

注意 : VPN 向 导 包 括 Startup Wizard 和 SSL VPN Wizard 两 种 。 

(3) 依次 选择 Wizards 一 Startup Wizard 命令 ,运行 VPN 向 导 , 显示 图 10-23 所 示 的 
Startiing Point 对 话 框 。 根 据 需 要 选择 起 始点 向 导 。 

@ 修改 现 有 配置 。 
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@ 恢复 出 厂 默认 值 配置 。 

(4) 选中 Modify existing configuration 单 选 按钮 , 单 击 Next 按钮 ,显示 图 10-24 所 示 
的 Basic Configuration 对 话 框 。 分 别 在 ASA Host Name 和 Domain Name 文本 框 中 ,输入 
ASA 主机 名 和 域名 。 如 果 要 启用 特权 模式 密码 ,在 Privileged Mode (Enable) Password 选 
项 区 域 中 选中 Change privileged mode (enable) password 复 选 框 ,使 用 ASDM 或 命令 行 管 
理 需 启用 特权 模式 的 密码 。 
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图 10-23 ”Startiing Point 对 话 框 图 10-24 ”Basic Configuration 对 话 框 


(5) 单 击 Next 按钮 ,显示 图 10-25 所 示 的 Auto Update Server 对 话 框 , 如 果 要 启用 自 
动 更 新 服务 器 远程 管理 ,选中 Enable Auto Update 复 选 框 ,分 别 在 Server、User 和 Device 
Identity 选项 区 域 中 ,输入 Server URL、Username、Password 和 Device ID 信息 。 

(6) 单 击 Next 按钮 ,显示 图 10-26 所 示 的 Outside Interface Configuration 对 话 框 , 配 
置 与 ISP 提供 商 进 行 连接 的 接口 。 
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图 10-25 Auto Update Server 对 话 框 图 10-26 ”Outside Interface Configuration 对 话 框 


(7) 单 击 Next 按钮 ,显示 图 10-27 所 示 的 Other Interface Configuration 对 话 框 。 
(8) 单 击 Edit 按钮 ,显示 图 10-28 所 示 的 Edit Interface 对 话 框 ,编辑 端口 信息 。 编 辑 
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片 OK 按钮 ,返回 到 Other Interface Configuration 对 话 框 。 
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图 10-27 ”Other Interface Configuration 对 话 框 图 10-28 Edit Interface 对 话 框 


(9) 单 击 Next 按钮 ,显示 图 10-29 所 示 的 Static Routes 对 话 框 ,指定 静态 路 由 。 
单 击 Add 按钮 ,显示 图 10-30 所 示 的 Add Static Route 对 话 框 ,添加 静态 路 由 。 


辐 


rie [ ume mm] [ET ET | 
He 
E 
se ie 昌 ] 
mn " 
ties 
Oe 


O Tana Mond dy oe antoalt ret wd ontrie ws 
Om 


[rm [mm [wr] 


图 10-29 ”Static Routes 对 话 框 图 10-30 Add Static Route 对 话 框 


单 击 Edit 按钮 ,显示 图 10-31 所 示 的 Edit Static Route 对 话 框 ,编辑 静态 路 由 。 

(10) 单 击 Next 按钮 ,显示 图 10-32 所 示 DHCP Server 对 话 框 。 可 以 启动 ASA DHCP 
服务 器 功能 ,根据 需要 启用 DHCP 服务 器 的 内 部 端口 ,设置 DHCP 服务 器 的 参数 即 可 。 

(11) 单 击 Next 按钮 ,显示 图 10-33 所 示 的 Address Translation 对 话 框 ,根据 需要 设置 
地 址 转换 (NAT/PAT) 即 可 。 

(12) 单 击 Next 按钮 ,显示 图 10-34 所 示 的 Administrative Access 对 话 框 , 指 定 所 有 主 
机 或 允许 访问 使 用 HTTPS/ASDM.SSH 或 Telnet 的 网 络 地 址 。 


单 击 Add 按钮 ,显示 图 10-35 所 示 的 Add Administrative Access Entry 对 话 框 。 添 加 
管理 访问 项 , 单 击 OK 按钮 返回 即 可 。 


411 


@e。 
412 “网络 管 理 与 工具 软件 应 用 


EGG 


9 


Stwtine mh inc I Ma 


hw aaa TR" 
| He roves 
Gm ll ml 
| sse se se 
him 于 本 
Dime sm se 
OO Tanneled Osed only Er daft route wmd wetrie wi, ewe Leeth we Fine Tis ws 
Dr Dosis ee 


saine wale confi poration evnses We DF sorver to sotonstiely 
on gas BE, TIE ad denin home Tie vales in th {leds ore 
be pecedenee ever the tr enfigest aus 


口 male wtrentipestin sm 


| Ce Ce Ce Gi eet Bet) [Eee [es] 


图 10-31 Edit Static Route 对 话 框 图 10-32 DHCP Server 对 话 框 
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图 10-33 Address Translation 对 话 框 图 10-34 Administrative Access 对 话 框 


(13) 单 击 Next 按钮 ,显示 图 10-36 所 示 的 Startup Wizard Summary 对 话 框 , 显 示 启 动 
向 导 摘 要 ,检查 是 否 正确 。 
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图 10-35 Add Administrative Access Entry 对 话 框 图 10-36 Startup Wizard Summary 对 话 框 
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(14) 单 击 Finish 按钮 ,完成 VPN 配置 并 保存 。 

使 用 SSL VPN 向 导 , 配 置 IPsec VPN 远程 访问 。 

(1) 依次 选择 Wizards 一 SSL VPN Wizard 命令 ,运行 VPN 向 导 , 显 示 图 10-37 所 示 的 
SSL VPN Connection Type 对 话 框 。 
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图 10-37 SSL VPN Connection Type 对 话 框 


(2) 单 击 Next 按钮 ,显示 图 10-38 所 示 的 SSL VPN Interface 对 话 框 。 
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图 10-38 SSL VPN Interface 对 话 框 


(3) 单 击 Next 按钮 ,显示 图 10-39 所 示 的 User Authentication 对 话 框 , 设 置 用 户 身份 
验证 。 如 果 选 择 本 地 用 户 数据 库 验证 用 户 , 既 可 以 在 这 里 创建 新 用 户 账号 ,也 可 以 稍 后 使 用 
ASDM 配置 界面 添加 用 户 。 在 Username、Password 和 Confirm Password 中 分 别 输入 用 户 
名 、 密 码 、 确 认 密 码 . 单 击 Add 按钮 . 即 可 向 本 地 用 户 数 据 库 中 添加 新 的 用 户 。 重 复 操作 ,可 
添加 多 个 用 户 。 

(4) 单 击 Next 按钮 ,显示 图 10-40 所 示 的 Group Policy 对 话 框 ,可 以 创建 新 的 组 
策略 。 

(5) 单 击 Next 按钮 ,显示 图 10-41 所 示 的 Clientless Connections Only - Bookmark 
List 对 话 框 ,根据 需要 设置 连接 客户 端的 书签 列表 。 
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图 10-39 User Authentication 对 话 框 
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图 10-40 ”Group Policy 对 话 框 


(6) 单 击 Manage 按钮 ,显示 图 10-42 所 示 的 Configure GUI Customization Objects 对 
话 框 ,配置 SSL VPN 门户 网 站 页 面 显示 的 安全 设备 的 书签 列表 。 
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图 10-41 Clientless Connections Only - Bookmark List 10-42 Configure GUI Customization 
对 话 框 Objects 对 话 框 
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(7) 单 击 Edit 按钮 ,显示 图 10-43 所 示 的 Edit Bookmark List 对 话 框 。 根 据 需 要 ,可 以 
添加 、 编 辑 ,删除 书签 。 


(8) 单 击 Add 按钮 ,显示 图 10-44 所 示 的 Add Bookmark Entry 对 话 框 ,添加 书签 项 。 
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图 10-43 ”Edit Bookmark List 对 话 框 图 10-44 ”Add Bookmark Entry 对 话 框 


(9) 连续 单 击 OK 按钮 ,显示 图 10-45 所 示 的 Clientless Connections Only - Bookmark 
List 对 话 框 ,连接 书签 列表 。 
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图 10-45 ”Clientless Connections Only - Bookmark List 对 话 框 


(10) 单 击 Next 按钮 ,显示 图 10-46 所 示 的 Summary 对 话 框 ,显示 已 创建 SSL VPN 摘 
要 信息 。 
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图 10-46 ”Summary 对 话 框 
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(11) 单 击 Finish 按钮 ,完成 SSL VPN 配置 并 保存 。 

S. Site-to-Site VPN 配置 

借助 Site-to-Site VPN 配置 ,可 以 实现 远程 网 络 的 廉价 安全 互联 ,特别 适用 于 总 公司 与 
分 部 之 间 的 相互 连接 ,图 10-47 所 示 为 网 络 层 的 Site-to-Site VPN 拓扑 结构 。 


Site A SiteB 


10-47 网络 层 的 Site-to-Site VPN 拓扑 结构 


在 开始 配置 之 前 ,应 确认 已 经 准备 好 以 下 数据 。 

(1) 对 端 远 程 安全 设备 的 IP 地 址 。 

(2) 允许 使 用 隧道 连接 与 远程 站 点 上 的 资源 通信 的 本 地 主机 和 网 络 的 IP 地 址 。 

(3) 允许 使 用 隧道 与 本 地 资源 通信 的 远程 主机 和 网 络 的 IP 地 址 。 

配置 Site-to-Site VPN 的 步骤 如 下 。 

(1) 在 A5510-SSLVPN 主 窗口 中 , 单 击 Configuration 按钮 ,在 左 侧 列表 框 中 选择 Site- 
to-Site VPN 选项 ,配置 远程 访问 VPN ,显示 图 10-48 所 示 的 Site-to-Site VPN 对 话 框 。 
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图 10-48 ”Site-to-Site VPN 对 话 框 


(2) 依次 选择 Wizard->IPSec VPN Wizard 命令 ,运行 VPN 向 导 , 显 示 图 10-49 所 示 的 
VPN Tunnel Type 对 话 框 。 配 置 本 地 站 点 安全 设备 ,选中 Site-to-Site 单 选 按 钮 ,从 VPN 
Tunnel Interface 下 拉 列 表 框 中 选择 outside 选项 。 

(3) 单 击 Next 按钮 ,显示 图 10-50 所 示 的 Remote Site Peer 对 话 框 ,在 Peer IP 
Address 文本 框 中 ,输入 对 端 安全 设备 的 IP 地 址 (如 121. 17. 46. 68) ,在 Tunnel Group 
Name 文本 框 中 ,输入 隧道 组 名 称 , 并 在 Authentication Method 选项 区 域 选 择 认证 方式 。 
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图 10-49 ”VPN Tunnel Type 对 话 框 
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图 10-50 Remote Site Peer 对 话 框 


具体 认证 方式 的 选择 ,参见 上 述 相关 内 容 。 


(4) 单 击 Next 按钮 ,显示 图 10-51 所 示 的 IKE Policy 对 话 框 , 配 置 IKE 策略 。 采 用 


ASDM 的 系统 默认 值 , 即 可 在 两 个 安全 设备 之 间 创 建安 全 的 VPN 隧道 。 


图 10-51 IKE Policy 对 话 框 
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(5) 单 击 Next 按钮 ,显示 图 10-52 所 示 的 IPsec Encryption and Authentication 对 话 
框 ,配置 IPsec 加 密 和 认证 参数 。 详 细 设置 参见 上 述 相关 内 容 , 这 里 不 再 缆 述 。 
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图 10-52 IPsec Encryption and Authentication 对 话 框 


(6) 单 击 Next 按钮 ,显示 图 10-53 所 示 的 Host and Networks 对 话 框 ,指定 主机 和 网 络 。 
在 Local Networks 文本 框 中 ,选择 卫 地 址 对 象 , 如 图 10-54 所 示 。 单 击 确定 按钮 返回 即 可 。 
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图 10-53 ”Host and Networks 对 话 框 图 10-54 ”Browse Local Networks 对 话 框 


(7) 单 击 Next 按钮 ,显示 图 10-55 所 示 的 Summary 对 话 框 ,显示 VPN 配置 的 汇总 
信息 。 

(8) 检查 无 误 后 , 单 击 Finish 按钮 ,返回 ASDM 主 窗口 。 若 欲 将 修改 后 的 配置 保存 至 
启用 配置 (Startup Configuration) , 当 设备 下 一 次 启动 时 应 用 ,还 应 在 File 菜单 中 选择 Save 
命令 。 

(9) 配置 对 端 另 一 台 VPN 设备 ,应 确保 两 端的 相关 参数 保持 一 致 。 

6. 管理 安全 设备 

使 用 Cisco 自 适应 安全 设备 管理 器 管理 安全 设备 ,可 以 通过 Web 图 形 界面 监视 设备 的 
运行 状态 、 查 看 和 分 析 网 络 流 量 、 查 看 和 分 析 系 统 日 志和 安全 监控 工具 ,使 管理 员 能 够 更 好 
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图 10-55 ”Summary 对 话 框 


地 管理 安全 设备 。 

(1) 监视 安全 设备 运行 状态 

利用 Cisco ASDM 登录 到 Cisco ASA 主 界面 ,如 图 10-56 所 示 , 在 主页 中 可 以 看 到 
Device Dashboard 选项 卡 中 显示 设备 信息 (名 称 、 版 本 、 型 号 等 )、 系 统 资源 运行 状态 (CPU 
和 Memory) ,接口 状态 和 信息 传输 状态 。 


图 10-56 Cisco ASA 主 界面 


(2) 查看 和 分 析 网 络 流量 

通常 情况 下 ,网 络 安全 设备 位 于 网 络 的 主干 处 ,所 以 安全 设备 的 流量 即 为 网 络 的 所 有 流 
量 。 通 过 对 这 些 流量 进行 查看 和 分 析 , 即 可 发 现 网 络 中 的 非法 流量 ,并 根据 分 析 结 果 进 行 排 
除 即 可 。 

@ 在 Cisco ASA 主 界面 中 , 单 击 Monitoring 按钮 ,监视 设备 的 接口 信息 ,如 图 10-57 
所 示 。 

@ 在 左 侧 Interfaces 列表 栏 中 选择 Interface Graphs 选项 ,可 以 查看 内 部 或 外 部 的 接口 


图 10-57 ”监视 设备 的 接口 信息 


图 表 , 如 图 10-58 所 示 。 


图 10-58 Interface Graphs 窗口 


@ 以 内 部 接口 为 例 ,在 Graph Selection 选项 区 域 中 显示 图 形 所 选 内容 , 在 Available 
Graphs 列表 框 中 ,选择 可 用 图 形 并 添加 到 Selected Graphs 列表 框 中 ,如 图 10-59 所 示 。 

@ 单 击 Show Graphs 按钮 ,以 图 例 形式 显示 网 络 的 流量 ,如 图 10-60 所 示 。 

(3) 查看 和 分 析 系 统 日 志 

与 交换 机 和 路 由 器 等 设备 相同 ,网 络 安 全 设备 同样 有 其 日 志文 件 。 通 过 查看 和 分 析 系 
统 日 志文 件 ,可 以 更 进一步 地 了 解 安全 设备 的 工作 状态 ,以 及 发 生 故 障 时 的 日 志 信息 等 。 

O@ 在 Cisco ASA 主页 左 侧 栏 中 ,选择 Logging 选项 ,显示 图 10-61 所 示 的 Real-Time 
Log Viewer 对 话 框 ,在 Logging Level 下 拉 列 表 中 选择 日 志 记 录 级 别 。 在 Buffer Limit 文 
本 框 中 输入 缓冲 区 限制 ,一般 为 默认 值 即 可 。 
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图 10-59 ”Graph Selection 选项 区 域 
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图 10-60 ”网络 流量 


图 10-61 Real-Time Log Viewer 对 话 框 
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加 单 击 View 按钮 ,系统 日 志 以 视图 方式 显示 ,如 图 10-62 所 示 。 
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图 10-62 系统 日 志 


10.4 客户 端 安全 管理 


随 着 网 络 用 户 数量 的 不 断 增加 ,由 此 而 引发 的 网 络 安全 问题 也 不 断 增长 ,尤其 是 网 络 滥 
用 导致 的 网 络 拥塞 和 蠕虫 病毒 泛滥 导致 的 性 能 下 降 , 以 及 系统 漏洞 导致 的 恶意 攻击 问题 ,如 
果 不 采 取 相 应 的 \ 有 力 的 应 对 措施 ,那么 ,网 络 瘫痪 的 情形 将 会 不 断 上 演 。 


10.4.1 锁定 计算 机 


所 谓 锁定 计算 机 是 指 用 户 暂时 离开 但 不 希望 关闭 计算 机 时 ,锁定 计算 机 工作 状态 ,使 其 
他 未 授权 用 户 无 法 登录 系统 。 当 解除 锁定 并 重新 登录 到 系统 后 ,打开 的 文件 和 正在 运行 的 
应 用 程序 仍 可 以 立即 使 用 。 需 要 注意 的 是 ,计算 机 锁定 功能 仅 适 用 于 已 设置 登录 密码 的 用 
户 账户 。 受 密码 保护 的 屏幕 保护 程序 ,可 以 防止 其 他 用 户 在 当前 用 户 离开 时 查看 屏幕 信息 
并 使 用 计算 机 。 

1.“ 开 始 "菜单 中 的 锁定 按钮 

快速 锁定 计算 机 是 Windows Vista 系统 的 新 增 功能 之 一 。 任 意 用 户 登 录 系统 后 , 单 击 
“开始 ”菜单 ,并 选择 “锁定 该 计算 机 ”按钮 ,如 图 10-63 所 示 , 即 可 快速 锁定 计算 机 。 

2. Win 十 L 键 

该 组 合 键 在 Windows XP 系统 中 同样 适用 。 离 开 计算 机 之 前 , 按 Win 十 L 键 , 即 可 快速 
锁定 计算 机 ,并 显示 图 10-64 所 示 的 页 面 。 

3. Ctrl 十 Alt 十 Delete 键 

用 户 使 用 任何 账户 登录 Windows Vista 系统 后 , 按 Ctrl 十 Alt 十 Delete 键 ,将 显示 
图 10-65 所 示 的 页 面 , 单 击 “ 锁 定 该 计算 机 ”按钮 , 即 可 立即 锁定 当前 账户 在 该 计算 机 的 登录 
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图 10-63 ”Windows Vista 开 始 "菜单 


攻 windowsvist 


图 10-64 Win 十 L 键 锁定 计算 机 


图 10-65 “Ctrl 十 Alt 十 Delete 键 锁定 计算 机 
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提示 : 该 方法 不 适用 于 Windows XP 系统 。 

4. 屏幕 保护 程序 

通过 设置 屏幕 保护 程序 ,可 使 计算 机 在 指定 空闲 时 间 后 启动 屏幕 保护 程序 并 自动 锁定 计 
算 机 ,该 方式 可 能 存在 安全 漏洞 ,建议 作为 一 种 备用 方法 使 用 ,例如 , 当 离 开 时 忘记 使 用 其 他 方 
法 锁定 计算 机 , 则 可 以 通过 屏幕 保护 程序 ,在 一 段 时 间 后 自动 锁定 计算 机 。 设 置 方 法 如 下 。 

(1) 在 桌面 空白 处 右 击 ,选择 快捷 菜单 中 的 “个 性 化 ”命令 ,打开 图 10-66 所 示 的 “个 性 化 外 
观 和 声音 "窗口 。 也 可 以 在 “控制 面板 "(经 典 模式 ) 窗 口中 ,双击 “个 性 化 "按钮 打开 该 窗口 。 

(2) 单 击 “ 屏 幕 保护 程序 ”链接 ,打开 图 10-67 所 示 的 “屏幕 保护 程序 设置 "对 话 框 ,在 
“等 待 ”文本 框 中 设置 进入 屏幕 保护 程序 之 前 需要 等 待 的 时 间 , 默 认为 10 分 钟 。 务必 选 中 


“在 恢复 时 显示 登录 屏幕 " 复 选 框 。 
| 
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图 10-66 “个 性 化 外 观 和 声音 "窗口 图 10-67 “屏幕 保护 程序 设置 "对 话 框 


(3) 单 击 “ 确 定 ” 按 钮 关闭 “屏幕 保护 程序 设置 ”对话 框 。 这 样 , 在 运行 屏幕 保护 程序 后 ， 
如 果 通 过 和 触动 鼠标 或 按键 盘 任 意 键 解除 屏幕 保护 程序 时 , 即 可 显示 图 10-68 所 示 的 登录 页 
面 ,必须 输入 正确 的 密码 才能 登录 系统 。 


敬 WindowsVista 


图 10-68 登录 页 面 
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提示 : 上 述 计算 机 锁定 方式 ,适用 于 工作 组 环境 和 Windows 域 环境 中 的 所 有 Windows 
Vista 客户 端 计算 机 。 


10.4.2 保护 密码 


为 了 增强 计算 机 的 安全 性 ,应 该 为 所 有 计算 机 账户 设置 密码 ,尤其 是 对 于 管理 网 络 和 计 
算 机 的 管理 员 账 户 , 更 应 使 用 具有 强 保密 性 的 密码 。 


10.4.3 Windows 防火 墙 


防火 墙 有 助 于 防止 黑客 或 恶意 软件 (如 蠕虫 ) 通 过 网 络 或 Internet 访问 计算 机 。 防 火 墙 
还 有 助 于 阻止 计算 机 向 其 他 计算 机 发 送 恶意 软件 。 因 此 ,防火墙 是 每 个 客户 端 必 不 可 少 的 
安全 防护 工具 。Windows 防火 墙 是 Windows Vista 系统 默认 安装 的 组 件 之 一 ,并 且 已 经 自 
动 开启 。Windows Vista 系统 防火 墙 的 功能 与 配置 与 Windows Server 2008 类 似 , 用 户 可 通 
过 如 下 操作 启动 和 配置 Windows 防火 墙 。 

(1) 在 “控制 面板 "窗口 中 双击 “Windows 防火 墙 ? 按 钮 ,打开 图 10-69 所 示 的 “Windows 防 
火 墙 "窗口 。 系 统 默 认 已 启用 Windows 防火 墙 .“ 网 络 位 置 "的 显示 类 型 决定 了 Windows 


图 10-69 “Windows 防火 墙 "窗口 


(2) 单 击 “ 更 改 设置 "链接 ,打开 图 10-70 所 示 的 “Windows 防火 墙 设置 "对话 框 。 选 中 
“关闭 ” 单 选 按钮 , 即 可 暂时 关闭 Windows 防火 墙 ,但 关闭 之 后 系统 将 失去 防火 墙 保护 ,更 容 
易 遭 受 黑客 和 恶意 软件 攻击 。 

(3) 选择 “例外 ”选项 卡 , 如 图 10-71 所 示 。 在 这 里 同样 可 以 设置 允许 通过 Windows 防 
火 墙 的 应 用 程序 或 端口 ,与 Windows Server 2008 完全 相同 ,此 处 不 再 袭 述 。 


10.4.4 系统 更 新 设置 


微软 的 Windows 系统 发 布 后 ,都 会 不 定时 地 再 发 布 一些 补 丁 程序 ,以 弥补 相应 操作 系 
统 的 漏洞 或 缺陷 。Windows Vista 系统 的 自动 更 新 设置 与 Windows Server 2008 类 似 , 默 认 
都 是 未 配置 的 ,用 户 可 根据 实际 需要 选择 是 否 启用 自动 更 新 功能 。 
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1. 安装 更 新 注意 事项 

安装 系统 补丁 时 ,应 当 注意 以 下 几 点 。 

(1) 安装 系统 补丁 之 前 切记 不 要 连接 网 络 ,尤其 是 Internet。 所 需 的 补丁 程序 建议 使 用 
其 他 移动 存储 设备 复制 到 相应 的 机 器 上 。 如 果 是 在 局 域 网 环境 ,建议 搭建 一 台 专 用 更 新 服 
务 器 (WSUS) ,大 规模 部 署 之 前 , 先 在 小 范围 内 进行 测试 ,确认 正常 后 再 应 用 到 其 他 计算 机 。 

(2) 注意 某 些 补丁 程序 对 安装 顺序 的 要 求 , 否 则 将 无 法 完成 安装 。 

(3) 开始 安装 补丁 程序 前 应 关闭 其 他 应 用 程序 ,以 免 导致 安装 失败 。 

(4) 有 些 补丁 程序 安装 完成 后 需要 重新 启动 计算 机 方 可 生效 ,应 注意 及 时 保存 系统 状 

(5) 获取 补丁 程序 时 应 注意 其 版 本 要 求 , 如 操作 系统 类 型 版本、 系统 语言 等 。 

(6) 安装 过 程 中 如 需 确认 或 更 改 安装 目录 的 ,建议 保持 系统 默认 设置 。 

2. 配置 Windows 自动 更 新 

配置 Windows 自动 更 新 功能 之 前 ,系统 将 无 法 自动 获取 并 安装 更 新 补丁 ,只 能 通过 移 
动 存储 介质 或 局 域 网 连接 ,通过 其 他 途径 获得 的 系统 补丁 手动 安装 到 目标 计算 机 。 为 提高 
系统 安全 性 ,建议 启动 Windows 自动 更 新 功能 并 确保 能 够 正常 连接 到 Internet 或 内 部 网 络 
的 自动 更 新 服务 器 。 

(1) 在 “控制 面板 ”窗口 中 双击 Windows Update 按钮 ,打开 图 10-72 所 示 的 Windows 
Update 窗口 ,此 时 尚未 启动 自动 安装 更 新 功能 。Windows Ultimate Extras 是 针对 Windows 
Vista Ultimate 提供 的 程序 、 服 务 和 收费 内 容 , 可 以 为 所 有 合法 用 户 提供 访问 独占 程序 和 服 
务 的 权限 。 通 过 Windows Ultimate Extras, 用 户 可 以 获得 以 下 内 容 。 

@ 最 尖端 的 应 用 程序 。 使 用 只 在 Windows Ultimate Extras 上 才 可 使 用 的 Microsoft 
应 用 程序 ,如 果 有 新 的 下 载 可 用 ,Windows Update 将 会 及 时 通知 用 户 。 

@ 创新 的 服务 。 从 独特 的 服务 中 受益 ,这 些 服 务 可 以 定制 最 适合 用 户 的 数字 生活 方式 
的 新 体验 , 旨 在 提高 用 户 效率 和 个 性 化 水 平 。 

@ 独特 的 发 布 。 下 载 并 侧重 于 数字 生活 方式 的 收费 内 容 ,发 现 有 助 于 当前 系统 的 安全 
和 技巧 策略 。 


(2) 单 击 “ 立 即 启 用 ”按钮 , 即 可 按照 Windows 推荐 的 方式 启动 自动 更 新 功能 , 即 自动 
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EES 


帝 Windows Ultimate Extras 的 Windows Update 


10-72 Windows Update 窗口 


检查 更 新 ,并 在 每 天 3:00 自动 安装 新 的 更 新 ,如 图 10-73 所 示 。 


BoE 
带 Windows Ultimate Extras 的 Windows Update 
正在 检查 更 新 


图 10-73 正在 检查 更 新 


(3) 如 果 不 希 望 使 用 这 种 方式 , 则 可 以 单 击 “ 更 改 设置 "链接 ,或 者 在 Windows Update 
窗口 中 单 击 “ 立 即 启 用 ”按钮 下 方 的 “查看 高 级 选项 ”链接 ,打开 图 10-74 所 示 的 “选择 
Windows 安装 更 新 的 方法 ”窗口 。 建 议 选 中 “检查 更 新 ,但 是 让 我 选择 是 否 下 载 和 安装 更 
新 " 单 选 按钮 。 各 种 安装 方式 的 具体 含义 如 下 。 

QO@ 自动 安装 更 新 (推荐 ): 服务 器 连接 到 Internet 后 ,系统 将 自动 检测 Microsoft 
Update 服务 器 是 否 有 所 需 更 新 .如 果 有 则 将 自动 下 载 并 安装 这 些 更 新 。 选 中 该 单 选 按钮 后 
还 需要 指定 系统 自动 安装 更 新 的 具体 时 间 。 

@ 下 载 更 新 ,但 是 让 我 选择 是 否 安装 更 新 : 仅 下 载 所 需 的 系统 更 新 ,完成 后 通知 用 户 
在 合适 的 时 间 手 动 安装 。 

@ 检查 更 新 .但 是 让 我 选择 是 否 下 载 和 安装 更 新 : 仅 检测 Microsoft Update 服务 器 上 
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“选择 Windows 安装 更 新 的 方法 "窗口 


提供 的 更 新 项 目 , 并 以 列表 方式 提示 系统 管理 员 ,管理 员 可 以 根据 实际 情况 选择 需要 下 载 的 
系统 更 新 。 建 议 使 用 这 种 方式 ,可 以 减少 不 必要 的 服务 器 资源 和 网 络 带宽 浪费 。 

@ 从 不 检查 更 新 (不 推荐 ) : 关闭 系统 更 新 功能 ,建议 不 要 选中 此 单 选 按钮 。 

(4) 单 击 “确定 "按钮 ,保存 设置 即 可 。 


3. 安装 系统 更 新 


如 果 没 有 将 系统 更 新 设置 为 自动 安装 , 则 当 服务 器 上 有 新 的 可 用 更 新 时 ,系统 托盘 将 出 
现 * 现 在 有 新 的 更 新 ”提示 信息 , 单 击 此 提示 信息 即 可 打开 Windows Update 窗口 ,在 这 里 用 
户 即 可 查看 和 配置 将 要 安装 的 更 新 内 容 。 
(1) 单 击 “ 现 在 有 新 的 更 新 "提示 信息 ,或 依次 选择 “开始 ”一 “所 有 程序 ”> Windows 
Update 命令 ,打开 图 10-75 所 示 的 Windows Update 窗口 。 在 “下 载 和 安装 计算 机 的 更 新 ” 
选项 区 域 显示 了 可 用 更 新 的 数量 及 大 小 。 
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10-75 Windows Update 窗口 


(2) 单 击 “ 查 看 可 用 更 新 "链接 ,显示 图 10-76 所 示 的 “查看 可 用 更 新 ”窗口 ,在 “选择 希 
望 安装 的 更 新 "列表 中 ,选中 其 前 面 的 复 选 框 , 即 表示 此 次 安装 该 更 新 ,如 果 取 消 选中 , 则 表 
示 不 安装 ,但 Windows Update 下 次 仍 会 提示 安装 该 更 新 。 
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图 10-76 “查看 可 用 更 新 "窗口 


(3) 如 果 不 希 望 每 次 都 提示 没 必要 安装 的 系统 更 新 , 则 可 以 右 击 更 新 名 称 并 选择 快捷 
菜单 中 的 “隐藏 "命令 将 其 隐藏 ,如 图 10-77 所 示 。 隐 藏 之 后 ,更 新 名 称 将 旦 灰色 显示 ,必要 
时 用 户 还 可 以 从 隐藏 更 新 列表 中 将 其 恢复 。 


[了 


用 于 Wndov yt 中 的 rennet plorer 7 村 相安 全 更新 程 训 K89A079) 
Windows Defender (1) 
[Definen Updote for Wandows Defender -KB915537 Defiraton 137131.0) 


图 10-77 隐藏 不 希望 安装 的 更 新 


(4) 单 击 “ 安 装 ? 按 钮 , 即 可 下 载 并 安装 选 定 的 系统 更 新 ,如 图 10-78 所 示 。 本 案例 中 使 
用 的 是 “检查 更 新 ,但 是 让 我 选择 是 否 下 载 和 安装 更 新 "方式 ,所 以 需要 先 从 服务 器 下 载 , 然 
后 才 会 开始 安装 。 

(5) 安装 完成 后 ,显示 图 10-79 所 示 的 窗口 ,成 功 安装 了 更 新 。 单 击 “ 立 即 重新 启动 ” 按 
钮 ,重新 启动 计算 机 即 可 应 用 更 新 。 
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图 10-79 成 功 安装 了 更 新 


1. 交换 机 的 安全 管理 包括 哪些 内 容 ? 
2. 路 由 器 的 安全 管理 包括 哪些 内 容 ? 
3. Cisco ASDM 具有 哪些 特点 ? 


实验 : 使 用 Cisco ASDM 配置 安全 设备 


实验 目的 : 


掌握 使 用 Cisco ASDM 可 配置 安全 设备 的 内 容 及 配置 方法 。 
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实验 内 容 : 

配置 网 络 的 DMZ 区 域 ,配置 VPN 远程 访问 ,并 使 用 Cisco ASDM 监视 安全 设备 。 
实验 步骤 : 

(1) 使 用 Cisco ASDM 登录 安全 设备 。 

(2) 配置 DMZ。 

(3) 配置 IPsec VPN 远程 访问 。 

(4) 配置 Site-to-Site VPN 远程 访问 。 

(5) 监视 安全 设备 的 运行 状态 。 

(6) 查看 和 分 析 网 络 流 量 。 

(7) 查看 和 分 析 系 统 日 志 。 


客户 端 计算 机 是 网 络 的 重要 组 成 部 分 ,是 企业 人 员 日 常 工作 所 使 用 的 工作 平台 。 对 于 
使 用 客户 端 计算 机 的 用 户 而 言 ,有 可 能 由 于 安全 意识 不 足 或 系统 漏洞 等 原因 造成 客户 端 计 
算 机 的 故障 ,此 时 则 会 对 用 户 的 工作 造成 直接 的 影响 。 


11.1 网 络 客户 端 管理 规划 


在 当前 网 络 中 , 主要 包括 两 种 客户 端 操作 系统 , 分别 为 Windows XP 和 Windows 
Vista。 其 中 ,半数 以 上 的 客户 端 使 用 的 是 Windows XP 操作 系统 。 


11.1.1 项 目 背 景 


客户 端 计算 机 主要 是 网 络 中 的 普通 用 户 所 使 用 的 计算 机 ,因为 并 不 是 所 有 的 用 户 都 具 
有 安全 意识 ,所 以 ,相对 于 有 专人 维护 安全 的 服务 器 而 言 , 客 户 端 计算 机 更 容易 成 为 攻击 对 
象 ,因此 客户 端的 安全 也 是 管理 员 的 重要 工作 之 一 。 

另外 ,为 了 能 够 达到 统一 管理 的 目的 ,在 当前 网 络 中 ,要 求 所 有 客户 端 计算 机 均 加 入 到 域 
中 ,从 而 可 以 在 服务 器 端 进行 统一 的 管理 ,无 论 是 客户 端的 系统 管理 还 是 安全 管理 均 可 实现 。 


11.1.2 项 目 需求 


在 该 项 目 中 ,因为 大 部 分 客户 端的 位 置 比较 固定 ,其 采用 双 绞 线 方式 接 入 网 络 , 而 对 于 
位 置 经 常 变换 的 客户 端 而 言 则 采用 无 线 方式 接 入 网 络 。 对 于 客户 端的 管理 ,首先 必须 保证 
客户 端的 系统 安全 ,才能 使 客户 端 计算 机 更 好 地 完成 其 任务 ; 另外 ,需要 企业 内 的 所 有 客户 
端 使 用 相同 的 工作 环境 ,安装 统一 软件 。 


11.1.3 解决 方案 


鉴于 在 该 项 目 对 客户 端 管理 的 要 求 ,可 通过 如 下 各 项 方案 实现 。 

(1) 为 了 提高 客户 端 计算 机 的 安全 性 .微软 会 不 定期 地 发 布 系统 补丁 ,对 于 这 些 补丁 程 
序 ,客户 端 计 算 机 应 该 在 补丁 发 布 后 尽快 安装 。 这 是 因为 在 系统 补丁 发 布 后 ,到 客户 端 安装 
这 些 补丁 程序 期 间 ,客户 端 是 最 危险 的 。 所 以 ,必须 在 微软 发 布 补丁 后 及 时 安装 。 另 外 , 虽 
然 现在 网 络 提供 商 所 提供 的 网 络 带宽 越 来 越 宽 , 但 如 果 让 网 络 中 所 有 客户 端 自行 下 载 , 其 占 
用 的 网 络 带宽 也 是 非常 大 的 ,所 以 在 当前 网 络 中 ,通过 安装 WSUS 服务 器 ,统一 下 载 补丁 程 
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序 ,并 使 用 组 策略 方式 ,将 WSUS 服务 器 的 地 址 发 布 到 所 有 客户 端 计算 机 上 ,实现 所 有 客户 
端 计算 机 的 补丁 程序 的 安装 。 

(2) 可 以 通过 组 策略 的 方式 解决 客户 端 使 用 相同 工作 环境 的 问题 ,通过 在 域 控制 器 上 
设置 组 策略 ,可 以 配置 客户 端的 正 浏览 器 标题 .IE 浏览 器 主页 等 内 容 。 

(3) 防火 墙 的 作用 是 拦截 非法 连接 ,从 而 保证 计算 机 的 安全 。 为 了 保证 计算 机 的 安全 ， 
客户 端 必须 启用 防火 墙 功能 。 通 过 在 域 控 制 器 上 配置 组 策略 ,强制 客户 端 计算 机 启用 
Windows 防火 墙 。 

(4) 对 于 安装 统一 软件 的 要 求 , 同 样 也 可 能 通过 组 策略 方式 实现 。 使 用 组 策略 可 以 轻 
松 地 将 MSI 文 件 分 发 到 客户 端 计算 机 上 ,而 对 于 EXE 文件 , 则 需要 使 用 发 布 ZAP 文 件 的 
方式 进行 分 发 。 


11.2 系统 更 新 管理 


WSUS(Windows Software Update Service) 作 为 微软 为 数 不 多 的 免费 服务 程序 ,允许 
管理 员 在 Windows 工作 站 和 服务 器 上 快速 .可 靠 地 部 署 重大 更 新 和 安全 更 新 。 具 体 关 于 
WSUS 的 安装 和 配置 ,参见 其 他 相关 资料 ,这 里 就 不 再 玲 述 。 为 了 使 网 络 中 的 客户 端 可 以 
从 WSUS 服务 器 上 获得 更 新 ,需要 对 其 进行 相关 的 设置 。 在 域 网 络 环境 ,通常 情况 下 ,建议 
使 用 组 策略 方式 将 WSUS 服务 器 地 址 分 发 到 客户 端 计算 机 上 。 


11.2.1 通过 组 策略 编辑 器 配置 


如 果 通 过 组 策略 为 Active Directory 网 络 中 的 计算 机 指定 WSUS 升级 服务 器 的 地 址 ， 
需要 在 包括 网 络 中 所 有 计算 机 的 “组 织 单元 "或 其 上 一 级 “组 织 单元 "配置 组 策略 ,或 者 将 需 
要 更 新 的 计算 机 “移动 ”到 一 个 新 创建 的 “组 织 单元 "中 ,然后 再 对 该 组 中 的 所 有 计算 机 进行 
操作 即 可 ,具体 步 又 如 下 。 

(1) 新 建 一 个 用 于 保存 所 有 WSUS 3.0 客户 端 计算 机 的 组 织 单位 ,也 可 以 使 用 AD 默 
认 提 供 的 组 织 单位 。 使 用 新 建 计算 机 的 方法 将 客户 端 计算 机 添加 到 指定 的 组 织 单位 中 ,也 
可 以 从 其 他 组 织 单位 中 直接 添加 。 

(2) 依次 选择 “开始 ”一 “管理 工具 "一 “组 策略 管理 "命令 ,显示 图 11-1 所 示 的 “组 策略 
管理 ”窗口 ,依次 展开 “ 林 : coolpen. net”>“ 域 ”>coolpen. net 目录 。 


图 11-1 “组 策略 管理 "窗口 
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(3) 右 击 组 织 单位 并 选择 “在 这 个 域 中 创建 GPO 并 在 此 处 链接 ”命令 ,显示 图 11-2 所 
示 的 “新 建 GPO” 对 话 框 。 在“ 名称” 文本 框 中 输入 想 要 创建 的 组 策略 名 称 。 

(4) 单 击 “ 确 定 ” 按 钮 ,返回 “组 策略 管理 ”窗口 。 然 后 右 
击 新 建 的 组 策略 ,在 快捷 菜单 中 选择 “编辑 "命令 ,打开 “组 策 
略 管理 编辑 器 "窗口 ,并 依次 展开 “计算 机 配置 "一 “策略 ”一 
“管理 模板 ”一 “Windows 组 件 ” 一 Windows Update 目录 , 即 
可 看 到 所 有 的 设置 选项 ,默认 都 是 未 配置 的 。 图 11-2 “新 建 GPO” 对 话 框 

(5) 双击 “配置 自动 更 新 "链接 ,打开 图 11-3 所 示 的 “ 配 
置 自动 更 新 属性 "对话 框 。 首 先 选中 “已 启用 " 单 选 按钮 激活 下 面 的 选项 ,然后 在 “配置 自动 
更 新 "下 拉 列 表 框 中 选择 对 应 的 自动 更 新 类 型 ,共有 4 种 类 型 ,这 里 选择 4- 自动 下 载 并 计划 
安装 ”选项 , 即 自动 下 载 更 新 并 计划 安装 ,还 要 继续 设置 “计划 安装 日 期 "和 “计划 安装 时 间 ” 
选项 ,指定 执行 安装 的 日 期 和 时 间 。 设 置 完成 后 单 击 * 应 用 ”和 ”确定 "按钮 保存 设置 。 

(6) 双击 “指定 Intranet Microsoft 更 新 服务 位 置 ? 链 接 , 打 开 图 11-4 所 示 的 “指定 
Intranet Microsoft 更 新 服务 位 置 属性 "对话 框 。 首 先 选中 * 已 启用 ” 单 选 按钮 ,然后 在 “设置 
检测 更 新 的 Intranet 更 新 服务 "文本 框 中 ,输入 网 络 中 的 WSUS 3.0 服务 器 地 址 ,在 “设置 
Intranet 统计 服务 器 "文本 框 中 ,输入 用 于 获取 客户 端 状态 信息 的 服务 器 地 址 。 设 置 完成 
后 , 单 击 “ 确 定 ” 按 钮 ,保存 设置 即 可 。 
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图 11-3 启用 自动 更 新 功能 图 11-4 “指定 Intranet Microsoft 更 
新 服务 位 置 属性 "对话 框 


需要 注意 的 是 ,由 于 组 策略 的 刷新 和 应 用 需要 一 定 的 时 间 , 所 以 保存 编辑 结果 后 即使 客 
户 端 重新 登录 域 控 制 器 也 可 能 无 法 立即 联系 到 WSUS 服务 器 。 而 默认 情况 下 ,每 隔 90 分 
钟 计算 机 组 策略 便 会 在 后 台 刷 新 一 次 ,刷新 的 时 间 可 能 随机 偏 移 0 一 30 分 钟 ,客户 端 计算 机 
要 在 域 控制 器 刷新 组 策略 20 分 钟 后 才 可 以 应 用 到 组 策略 。 如 果 想 要 以 更 快 的 速度 刷新 组 
策略 ,可 以 在 服务 器 端 设置 组 策略 后 ,通过 运行 gpupdate 命令 让 设置 即时 生效 ,并 在 客户 端 
计算 机 通过 运行 gpupdate/force 命令 立刻 生效 。 如 果 计 算 机 不 是 Active Directory 的 成 员 ， 
可 以 通过 输入 wuauclt. exe/ detectnow 来 消除 20 分 钟 延 时 。 
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11.2.2 通过 本 地 策略 配置 


如 果 计 算 机 没有 加 入 到 Active Directory ,或 者 想 覆 盖 Active Directory 中 通过 组 策略 
指定 的 WSUS 升 级 服务 器 的 地 址 或 配置 .可 以 在 客户 端 计算 机 上 配置 本 地 策略 实现 。 

打开 “运行 "对 话 框 ,输入 gpedit. msc 并 按 Enter 键 。 打 开 图 11-5 所 示 的 “组 策略 对 象 
编辑 器 ”窗口 ,依次 展开 “计算 机 配置 ->“ 管 理 模 板 ”->“Windows 组 件 ”>Windows Update 
目录 ,具体 设置 方法 与 在 域 控制 器 上 设置 方法 相同 ,这 里 就 不 再 著述 。 


文 阵 们 损人 FA 本 看 V) 大地 (H) 
加 中 | 为 国 3 日 呈 


图 11-5 “组 策略 对 象 编辑 器 "窗口 


11.3 网 络 接 入 管理 


客户 端 接 入 网 络 通常 包括 两 种 方式 ,一 种 是 使 用 双 绞 线 将 计算 机 连接 到 交换 机 等 网 络 
设备 ; 一 种 是 使 用 无 线 网 卡 接 入 网 络 。 对 于 第 一 种 方法 ,只 需 使 用 双 绞 线 将 计算 机 与 交换 
机 进行 连接 即 可 ; 而 对 于 第 二 种 方法 , 则 需要 分 别 在 无 线路 由 器 和 客户 端 计算 机 上 进行 设 
置 。 这 里 以 Windows XP 为 例 介 绍 客户 端 计算 机 接 入 网 络 的 具体 操作 。 另 外 ,无 论 采 用 哪 
种 方式 ,其 设置 IP 地 址 的 方法 基本 相同 ,具体 内 容 参 见 相关 资料 ,这 里 不 再 袭 述 。 


11.3.1 Windows XP 客户 端 配置 


当 无 线 网 卡 驱动 程序 支持 Windows XP SP2 的 “无 线 自动 配置 "时 ,可 以 通过 以 下 操作 
配置 Windows XP SP2 的 无 线 网 络 。 

(1) 在 Windows XP SP2 中 安装 无 线 网 络 适配器 。 这 个 过 程 包括 为 无 线 网 络 适配器 安 
装 正 确 的 驱动 程序 ,以 便 在 “网 络 连 接 ” 中 作为 一 个 无 线 连 接 出 现 。 

(2) 当 计算 机 在 家 庭 或 小 型 企业 的 无 线 AP 范围 内 时 ,Windows XP 应 该 检测 到 网 络 信 
号 ,如 图 11-6 所 示 , 并 在 任务 栏 的 通知 区 域 显示 “检测 到 无 线 网 络 ”" 提 示 消 息 。 

(3) 单 击 该 提示 消息 ,显示 图 11-7 所 示 的 带 有 无 线 连接 名 称 的 对 话 框 。 如 果 没 有 看 到 
通知 ,在 “网 络 连接 ”中 右 击 无 线 网 络 适 配器 ,然后 单 击 “查看 可 用 的 无 线 连接 ?按钮 ,也 可 显 
示 该 对 话 框 。 


图 11-6 提示 检测 到 无 线 网 络 图 11-7 可 用 的 无 线 连接 


(4) 双击 无 线 网 络 名 称 ,Windows XP 将 尝试 连接 到 该 无 线 网 络 。 

(5) 由 于 Windows XP 还 没有 配置 用 于 该 无 线 网 络 的 WEP 加 密 密 钥 ,连接 尝试 将 会 失 
败 , Windows XP 将 使 用 一 个 “无 线 网 络 连 接 ” 对 话 框 发 出 提示 ,如 图 11-8 所 示 。 在 “网 络 密 
钥 ” 和 "确认 网 络 密 钥 ”中 输入 WEP 密 钥 , 然 后 单 击 " 连 接 " 按 钮 。 

(6) 如 果 在 "选择 无 线 网 络 ” 对 话 框 中 ,无 线 网 络 的 状态 消息 是 “已 连接 上 ”, 如 图 11-9 所 
示 , 那 么 连接 就 成 功 了 。 


图 11-8 提示 输入 WEP 密 钥 图 11-9 无 线 网 络 连 接 成 功 


(7) 如 果 “ 选 择 无 线 网 络 ” 对 话 框 中 无 线 网 络 的 状态 消息 是 “身份 验证 没有 成 功 ”, 则 应 
当 在 “相关 任务 ”列表 中 单 击 “更 改 首选 网 络 的 顺序 ”按钮 ,打开 “无 线 网 络 属性 "对话 框 , 选 
择 “ 无 线 网 络 配 置 ” 选 项 卡 .在 “首先 网络" 列表 中 单 击 无 线 网 络 名 称 ,然后 单 击 “ 属 性 ”按钮 ， 
显示 图 11-10 所 示 的 该 无 线 连接 属性 对 话 框 。 

(8) 在 “网 络 验 证 ”下 拉 列 表 框 中 选择 “开放 式 " 选 项 。 在 “数据 加 密 ” 下 拉 列 表 框 中 选择 
WEP 选项 。 在 “网 络 密 钥 ”和 “确认 网 络 密 钥 ”文本 框 中 ,输入 无 线 AP 上 配置 的 WEP 加 密 密 
钥 。 在 “ 密 钥 索引 (高 级 )” 中 ,选择 对 应 于 无 线 AP 上 配置 的 加 密 密 钥 内 存 位 置 的 密 钥 索 引 。 

(9) 依次 单 击 “ 确 定 ” 按 钮 .保存 对 无 线 网 络 和 无 线 网 卡 的 修改 。 无 线 客户 端 与 无 线 AP 
的 网 络 连接 正式 建立 ,显示 图 11-11 所 示 的 “无 线 网 络 状态 ”对 话 框 。 
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图 11-10 无 线 连接 属性 对 话 框 图 11-11 “无 线 网 络 状态 "对话 框 


11.3.2 专用 配置 程序 


如 果 使 用 无 线 网 卡 自 带 的 配置 程序 ,也 可 实现 与 无 线 AP 的 连接 。 下 面 以 TP-Link 
TIL-WN321G 1.0 Utility 为 例 , 介 绍 无 线 客户 端的 设置 。 

(1) 启用 配置 程序 ,程序 会 自动 搜索 无 线 AP 
网 络 ,并 显示 在 “无 线 网 络 ?选项 卡 的 列表 框 中 ,如 | me Ia we | me | 
图 11-12 所 示 。 

(2) 选择 无 线 AP 网 络 , 单 击 * 连 接 ” 按 钮 ,如 果 
无 线 网 络 设置 了 加 密 ,就 会 显示 图 11-13 所 示 的 * 身 
份 验 证 及 安全 ”对 话 框 ,要 求 输入 登录 密码 。 在 “ 密 
钥 " 下 拉 列 表 框 中 选择 ASCII 选项 ,并 在 文本 框 中 
输入 登录 密码 , 单 击 “ 确 定 ” 按 钮 。 

(3) 选择 “连接 状态 ”选项 卡 ,如 图 11-14 所 示 ， 
显示 该 无 线 网 卡 已 经 连接 至 无 线 网 络 。 


图 11-12 已 搜索 到 的 网 络 
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图 11-13 “身份 验证 及 安全 ”对 话 框 图 11-14 “连接 状态 ”选项 卡 


11.3.3 迅驰 客户 端 设置 


迅驰 客户 端 设置 步骤 如 下 。 
(1) 双击 任务 栏 托盘 区 的 迅驰 图 标 ,显示 迅驰 无 线 网 卡 配 置 程序 “英特尔 (R) PROSet/ 
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无 线 ” 对 话 框 ,如 图 11-15 所 示 。 系 统 会 自动 搜索 无 线 网 络 , 并 将 所 搜索 到 的 网 络 显 示 在 “无 
线 网 络 " 列 表 框 中 。 
(2) 选择 欲 接 入 的 无 线 网 络 ( 如 TP-LINK). 单 击 “ 连 接 ” 按 钮 ,如 果 无 线 网 络 设置 了 加 
密 , 将 显示 图 11-16 所 示 的 “连接 至 : TP-LINK” 对 话 框 ,需要 输入 网 络 密 钥 才能 连接 。 
(3) 在 “无 线 安全 性 密码 "文本 框 中 输入 无 线路 由 器 中 设置 的 密 钥 , 单 击 “ 确 定 ” 按 钮 即 
可 连接 网 络 ,如 图 11-17 所 示 , 此 时 就 可 与 网 络 中 的 其 他 计算 机 进行 连接 ,并 可 通过 无 线路 
由 器 连接 Internet 了 。 如 果 无 线 主 机 没有 设置 IP 地 址 ,并 且 无 线路 由 器 启用 了 DHCP 服 
务 , 则 无 线 主机 会 自动 获取 IP 地 址 。 否 则 ,需要 手工 为 无 线 客户 端 设置 IP 地 址 信息 。 
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图 11-15 迅驰 无 线 网 卡 配置 程序 图 11-16 “连接 至 : TP-LINK" 对 话 框 ”图 11-17 连接 无 线 网 络 


11.4 组 策略 管理 


在 企业 网 络 中 ,因为 存在 多 台 客 户 端 计算 机 ,以 及 所 使 用 的 人 员 的 计算 机 水 平 的 不 
同 , 其 管理 难度 是 可 想 而 知 的 。 如 果 采 用 传统 的 管理 计算 机 的 方式 ,显然 管理 效率 是 很 
低 的 ,因此 ,在 企业 网 络 中 通常 会 采用 组 策略 的 方式 ,对 网 络 中 的 计算 机 进行 统一 的 管理 
和 配置 。 


11.4.1 使 用 组 策略 定制 用 户 环境 


“组 策略 管理 编辑 器 "包括 * 计 算 机 配置 ”和 * 用 户 配 置 ?两 个 选项 ,在 “计算 机 配置 "中 进 
行 的 设置 将 应 用 于 编辑 的 所 属 组 织 单位 中 的 “计算 机 对 象 ”而 在 “用 户 配 置 " 中 进行 的 设置 
将 应 用 于 编辑 的 所 属 组 织 单位 中 的 “用 户 对 象 " 所 登录 的 计算 机 。 

1. 修改 下 浏览 器 的 标题 

在 “组 策略 管理 编辑 器 窗口 中 ,依次 展开 * 用 户 配 置 *~" 策 略 ”-”“Windows 设置 ”一 
“Internet Explorer 维护 ”一 “浏览 器 用 户 界面 "目录 ,如 图 11-18 所 示 。 

在 右 侧 双击 “浏览 器 标题 "链接 ,打开 “浏览 器 标题 对话 框 ,如 图 11-19 所 示 。 选 中 “ 自 
定义 标题 栏 " 复 选 框 ,在 “标题 栏 文字 "文本 框 中 输入 想 要 在 IE 标题 栏 显示 的 文字 (如 
COOLPEN) ,然后 单 击 “确定 ”按钮 返回 “组 策略 管理 编辑 器 "窗口 。 

2. 自 定义 主页 

在 “组 策略 管理 编辑 器 ”窗口 中 .依次 展开 “用 户 配置 "一 “策略 ->“Windows 设置 "一 
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图 11-18 使 用 组 策略 对 下 进行 定制 


“Internet Explorer 维护 ”>URL 目录 。 在 右 侧 双击 “重要 URL” 链 接 , 显 示 图 11-20 所 示 的 
“重要 URL” 对 话 框 。 在 此 有 3 个 文本 框 ,分 别 是 “主页 URL”、“ 搜 索 栏 URL” 和 “联机 支持 
页 的 URL”。 分 别 选 中 “ 自 定义 主页 URL”、“ 自 定义 搜索 栏 URL”、“ 自 定义 联机 支持 页 


URIL" 复 选 框 ,然后 在 文本 框 中 输入 相应 的 主页 地 址 即 可 。 需 要 注意 的 是 ,输入 的 地 址 必须 
以 “http://” 开 始 。 
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图 11-19 定义 IE 标题 栏 图 11-20 “重要 URL? 对 话 框 


3. 修改 Windows 防火 墙 设 置 
Windows XP 内 置 了 防火 墙 ,对 于 “单机 上 网 ”的 计算 机 来 说 ,这 是 一 个 很 方便 的 事情 。 
但 对 于 企业 内 部 网 络 来 说 ,如 果 大 家 互相 共享 计算 机 资源 ,并 且 对 计算 机 的 防火 墙 设置 不 是 
很 熟悉 ,将 无 法 使 用 文件 和 共享 打印 服务 。 通 过 修改 组 策略 的 方法 ,修改 Windows XP 的 防 
火 墙 设置 ,为 终端 计算 机 启用 文件 和 打印 共享 ,也 可 以 为 防火 墙 打 开 其 他 的 端口 。 

(1) 在 “组 策略 管理 编辑 器 "窗口 中 ,依次 展开 “计算 机 配置 ">“ 管 理 模 板 : 从 本 地 计算 
机 检索 到 的 策略 定义 ”>“ 网 络 ”>“ 网 络 连 接 ”->“Windows 防火 墙 *>“ 域 配置 文件 "目录 ， 
将 “Windows 防火 墙 : 不 允许 例外 ”策略 的 值 修 改 为 “已 禁用 ”状态 。 

(2) 将 “Windows 防火 墙 : 允许 人 站 远程 管理 例外 ”修改 为 “已 启用 ”状态 ,并 且 在 “允许 
来 自 这 些 IP 地 址 的 未 经 请 求 的 传人 消息 ”文本 框 中 输入 localsubnet, 如 图 11-21 所 示 。 

(3) 将 “Windows 防火 墙 : 允许 入 站 文件 和 打印 机 共享 例外 ”修改 为 “已 启用 ”状态 ,并 
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在 “允许 来 自 下 列 IP 地 址 的 未 经 请 求 的 传人 消息 "文本 框 中 输入 localsubnet, 如 图 11-22 
所 示 。 
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图 11-21 “Windows 防火 墙 : 允许 人 站 远程 管理 图 11-22 “Windows 防火 墙 : 允许 人 站 文件 和 打 
例外 属性 ”对话 框 印 机 共享 例外 属性 "对话 框 


(4) 如 果 想 允许 其 他 的 服务 ,如 远程 桌面 , 则 启用 “Windows 防火 墙 : 允许 人 站 远程 桌 
面 例外 ”, 并 输入 允许 的 地 址 。 

(5) 如 果 想 允许 其 他 未 列 出 的 服务 , 则 启用 "Windows 防火 墙 : 定义 入 站 端口 例外 ”, 将 
这 一 项 修改 为 “已 启用 ”后 ,并 单 击 * 显 示 ” 按 钮 ,在 “显示 内 容 ” 对 话 框 中 , 单 击 “ 添 加 ”按钮 ,并 
按照 以 下 格式 添加 服务 即 可 ,如 图 11-23 所 示 。 

=Port> :=<Transport> :<=Scope> :<Status> :<Name> 


其 中 <Port 二 是 十 进 制 的 端口 号 ,Transport 二 ppp 


是 TCP 或 UDP, 一 Scope> 是 “ * "作用 范围 ( x 用。 局 zw = 
于 所 有 网 络 和 IP 地 址 或 子 网 ) ,例如 ,在 Windows rrr 
XP 的 计算 机 上 安装 了 Web 服务 器 , 想 允 许 外 网 的 “| [ee Ea 二 一 
用 户 使 用 , 则 需要 输入 以 下 内 容 。 

80:TCP: * :enabled:Http Server 

(6) 依次 单 击 * 确 定 "按钮 ,保存 设置 并 退出 。 图 11-23 添加 其 他 端口 


说 明 : 虽然 可 以 在 这 一 项 禁止 Internet 连接 
防火 墙 , 但 如 果 计 算 机 的 本 地 管理 员 在 域 策略 生效 之 后 ( 即 禁用 Internet 连接 防火 墙 之 后 )， 
手动 启用 了 Internet 连接 防火 墙 , 则 本 地 管理 员 的 操作 将 覆盖 组 策略 的 设置 (只 对 当前 计算 
机 有 效 ) 。 


11.4.2 设备 限制 安全 策略 


通过 在 所 有 客户 端 计算 机 上 部 署 硬件 设备 安装 限制 安全 策略 ,可 以 阻止 用 户 随便 在 计 
算 机 上 安装 任何 硬件 设备 ,防止 不 必要 的 系统 安全 问题 ,例如 ,通过 限制 使 用 U 盘 等 可 移动 
存储 设备 ,不仅 可 以 阻止 部 分 病毒 的 传播 ,还 可 以 避免 重要 的 信息 失窃 。 组 策略 中 的 管理 模 
板 策略 有 两 个 级 别 的 控制 权 , 第 一 个 级 别 可 以 阻止 设备 驱动 的 安装 ,特别 是 移动 存储 设备 ; 
第 二 个 级 别 控制 对 资源 的 访问 。 管 理 员 通过 限制 从 可 移动 存储 设备 中 读 取 和 向 其 中 写 人 的 
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数据 ,就 可 以 保护 内 部 数据 安全 。 

提示 : 此 处 以 硬件 设备 的 GUID 为 例 , 禁 止 安装 指定 的 硬件 设备 。 

(1) 将 任意 U 盘 插 入 计算 机 的 USB 接口 .打开 “计算 机 管理 ”>“ 设 备 管理 器 ”窗口 , 展 
开 “ 磁 盘 驱 动 器 "目录 ,显示 图 11-24 所 示 的 窗口 。 

(2) 碳 击 U 盘 对 应 的 设备 名 称 ,选择 * 属 性 ”命令 ,在 打开 的 对 话 框 中 选择 图 11-25 所 示 
的 “详细 信息 ”选项 卡 。 在 “属性 ”下拉 列表 框 中 选择 “设备 类 GUID” 选 项 ,在 “ 值 "列表 框 中 ， 
显示 的 就 是 U 盘 类 设备 对 应 的 GUID ,将 此 值 复制 到 剪贴 板 即 可 。 
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图 11-24 “计算 机 管理 "窗口 图 11-25 “详细 信息 ”选项 卡 


(3) 单 击 “ 确 定 ” 按 钮 ,关闭 对 话 框 。 

(4) 在 “组 策略 管理 编辑 器 "窗口 中 ,依次 展开 “计算 机 配置 >“ 管理 模板 ">" 系统 ”>“ 设 
备 安装 ”>“ 设 备 安装 限制 "目录 ,显示 图 11-26 所 示 的 窗口 。 

(5) 双击 “阻止 安装 与 下 列 任何 设备 ID 相 匹 配 的 设备 ”策略 ,显示 图 11-27 所 示 的 对 话 
框 ,选中 “已 启用 " 单 选 按钮 。 
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图 11-26 “组 策略 管理 编辑 器 "窗口 图 11-27 “阻止 安装 与 下 列 任何 设备 ID 相 匹 配 


的 设备 属性 ”对 话 框 


(6) 单 击 “ 显 示 ” 按 钮 ,显示 “显示 内 容 ” 对 话 框 ,默认 此 列表 为 空白 。 单 击 “ 添 加 ”按钮 ， 
显示 “添加 项 目 ” 对 话 框 ,将 复制 到 剪贴 板 的 U 盘 类 设备 GUID, 粘 贴 到 “输入 要 添加 的 项 
目 " 文 本 框 中 即 可 ,如 图 11-28 所 示 。 
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(7) 连续 单 击 “ 确 定 ” 按 钮 ,保存 设置 即 可 。 由 于 以 上 策略 只 是 阻止 使 用 U 盘 类 设备 ， 
所 以 应 用 此 策略 后 ,用 户 仍 可 以 将 U 盘 插 入 USB 接口 ,并 且 系统 会 自动 为 其 安装 驱动 程 
序 , 但 是 在 资源 管理 器 中 打开 时 ,会 发 现 U 盘 对 应 的 可 用 磁盘 空间 为 0, 不 会 显示 任何 数据 ， 
如 图 11-29 所 示 。 
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图 11-28 “添加 项 目 " 对 话 杠 图 11-29 U 盘 当 前 不 可 用 


这 些 措施 并 不 能 从 根本 上 解决 核心 数据 的 安全 问题 ,恶意 用 户 仍 然 可 以 通过 电子 邮件 
发 送 数据 ,并 且 如 果 是 管理 员 的 话 , 具 备 工 作 站 或 服务 器 的 物理 操作 权限 , 则 盗 取 数据 更 是 
易如反掌 。 所 以 说 ,最 完美 的 解决 方案 是 确保 核心 数据 的 访问 权限 ,而 不 是 仅仅 依靠 组 
策略 。 

注意 : 如 果 在 应 用 设备 限制 策略 之 前 ,用 户 已 经 将 移动 设备 安装 到 系统 中 , 则 不 能 阻止 
用 户 的 正常 应 用 ,该 策略 会 在 用 户 取 下 设备 并 再 次 安装 移动 设备 时 生效 。 


11.5 系统 和 应 用 程序 管理 


在 网 络 环境 中 安装 新 的 软件 是 每 个 网 络 管理 员 经 常 遇 到 而 且 很 烦琐 的 工作 ,有 没有 一 
种 办 法 简单 实用 ,又 不 需要 管理 员 不 停 地 楼 上 楼 下 安装 的 方法 呢 ? 事实 上 使 用 组 策略 就 可 
以 为 系统 管理 员 提 供 这 样 一 种 行 之 有 效 的 办 法 。 


11.5.1 准备 工作 


在 发 布 软件 前 ,需要 进行 一 些 准备 工作 ,以 使 软件 可 以 正常 地 发 布 到 客户 端 计算 机 。 必 
要 的 准备 工作 如 下 。 

(1) 服务 器 端 。 在 服务 器 上 创建 一 个 共享 文件 夹 Software, 将 安装 文件 使 用 的 msi 数 
据 包 复 制 到 此 目录 下 ,并 且 设 置 访问 权限 ,至少 具备 读 取 的 权限 。 

(2) 客户 端 。 启 用 客户 端 计 算 机 上 的 文件 和 共享 功能 。 在 Windows Server 2008、 
Windows Vista/7 系统 中 ,默认 状态 下 网 络 发 现 和 文件 共享 功能 是 关闭 的 ,用 户 需要 手动 启 
用 该 功能 。 

(3) 准备 要 发 布 的 文件 。 使 用 组 策略 发 布 应 用 程序 对 文件 格式 有 严格 要 求 ,发 布 之 前 
必须 将 应 用 程序 制作 成 相关 格式 的 安装 程序 包 。 
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11.5.2 发 布 msi 格式 的 软件 


通常 情况 下 ,微软 所 发 布 的 补丁 程序 都 是 msi 格式 的 文件 ,这 些 文件 可 以 直接 使 用 组 策 
略 进行 发 布 。 

(1) 在 “组 策略 管理 编辑 器 "窗口 中 ,在 想 要 发 布 的 计算 iu 
机 所 在 的 组 织 单位 中 创建 一 个 组 策略 。 这 里 仍 以 coolpen 组 芒 一 一 
织 单位 为 例 进行 介绍 ,创建 名 为 Core 的 组 策略 ,如 图 11-30 了 
所 示 。 me ee 

(2) 单 击 “确定 ”按钮 ,创建 新 的 组 策略 对 象 。 图 11-30 “新 建 GPO” 对 话 框 

(3) 右 击 Core, 在 快捷 菜单 中 选择 “编辑 ”命令 ,显示 
图 11-31 所 示 的 “组 策略 管理 编辑 器 ”窗口 。 

(4) 依次 展开 Core“ 用 户 配 置 ">“ 软 件 设置 ">“ 软 件 安装 ”目录 ,如 图 11-31 所 示 。 

(5) 右 击 “ 软 件 安装 ”, 在 快捷 菜单 中 依次 选择 新建” 一 “数据 包 ” 命 令 , 显 示 图 11-32 所 
示 的 “打开 ”对 话 框 ,选择 服务 器 上 存储 安装 文件 的 共享 文件 夹 。 

提示 : 文件 路 径 必须 是 网 络 路 径 , 共 享 文件 位 置 可 以 是 DC, 也 可 以 是 网 络 上 任何 一 台 
设备 ,但 是 必须 具备 足够 的 访问 权限 。 
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(6) 单 击 “ 打 开 ” 按 钮 ,显示 图 11-33 所 示 的 “部 署 软 件 ” 对 话 框 。 具 体 各 项 含义 如 下 。 

@ 已 发 布 : 当 某 个 软件 分 发 给 用 户 以 后 ,组 策略 生效 后 ,用 户 在 任何 一 台 计 算 机 登录 
时 ,所 部 署 的 软件 将 出 现在 用 户 计算 机 的 “添加 /删除 程序 ?对 话 框 中 。 此 时 并 没有 真正 安装 
或 者 修改 计算 机 的 设置 ,也 没有 在 “开始 "菜单 或 者 桌面 上 创建 快捷 方式 。 只 有 用 户 从 “ 添 
加 /删除 程序 ”对 话 框 中 或 者 打开 了 该 软件 的 关联 信息 以 后 ,软件 会 自动 下 载 并 安装 到 用 户 
所 在 的 计算 机 上 。 如 果 用 户 不 需要 该 软件 ,可 以 在 “添加 / 删 
除 程 序 ” 对 话 框 中 删除 该 软件 。 

@ 已 分 配 : 当 软 件 分 配给 计算 机 时 ,计算 机 在 下 一 次 启 
动 的 时 候 会 自动 下 载 并 安装 软件 。 在 出 现 系统 登录 对 话 框 
以 前 ,软件 已 经 安装 完毕 。 软 件 是 真正 安装 到 用 户 的 计算 机 
上 ,不 仅仅 是 通知 而 已 。 当 软件 安装 到 计算 机 上 后 ,除非 具 ”图 11-33 “部 团 软 件 " 对 话 杠 
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备 管理 员 权限 的 用 户 ,其 他 用 户 都 不 能 删除 该 软件 ,但 是 用 户 仍然 可 以 使 用 "添加 /删除 程 
序 ”对话 框 来 修复 或 者 重新 安装 受 损 的 程序 。 

@ 高 级 : 使 用 该 选项 配置 “已 发 布 ? 或 “已 分 配 ? 的 选项 ,可 用 的 配置 更 多 。 单 击 * 确 定 ” 
按钮 后 ,会 自动 打开 新 建 的 软件 发 布 策略 的 属性 对 话 框 ,此 时 ,根据 需要 进行 配置 即 可 。 

(7) 单 击 “确定 "按钮 ,保存 设置 。 返 回 图 11-34 所 示 的 “组 策略 管理 编辑 器 "窗口 , 即 可 
发 现 软件 发 布 包 已 经 创建 完成 。 

(8) 右 击 新 建 的 数据 包 ,在 快捷 菜单 中 选择 “属性 命令 ,打开 软件 发 布 包 的 属性 对 话 
框 。 选 择 “ 部 署 " 选 项 卡 ,如 图 11-35 所 示 。 选 中 “部 署 选项 "区域 的 “在 登录 时 安装 此 应 用 程 
序 " 复 选 框 , 当 用 户 登 录 到 Active Directory 时 ,自动 安装 应 用 程序 。 
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图 11-34 “组 策略 管理 编辑 器 "窗口 图 11-35 “部 署 " 选 项 卡 
(9) 单 击 “ 确 定 ” 按 钮 ,完成 部 署 策 略 的 创建 。 
11.5.3 发布 EXE 安装 程序 包 


使 用 组 策略 ,可 以 很 容易 地 发 布 MSI 文件 ,但 对 于 EXE 文件 默认 则 不 能 进行 发 布 。 另 
外 ,Windows 系统 的 补丁 程序 许多 都 是 采用 EXE 文件 ,为 了 发 布 EXE 文件 ,可 以 采取 两 种 
安装 方法 ,一 种 是 使 用 ZAP 文件 格式 来 发 布 EXE 文件 ; 一 种 是 将 EXE 文件 制作 为 msi 文 
件 进行 发 布 。 此 处 以 前 者 为 例 加 以 介绍 。 

1. 创建 ZAP 文件 

微软 公司 提供 了 使 用 ZAP 文件 格式 来 描述 补丁 安装 参数 的 方式 ,然后 通过 群 组 原则 的 
软件 分 发 功能 来 部 署 。ZAP 文件 是 一 个 文本 文件 , 它 类 似 于 INI 文 件 ,提供 了 如 何 安装 应 


用 程序 .补丁 的 相关 信息 。 ER Ca 

创建 acdsee. zap 文件 ,该 文件 为 文本 文件 ,位 下 ;| 
于 D:\Software 目录 下 ,如 图 11-36 所 示 。 

内 容 如 下 。 

[Application] 

Friendlyname 一 "ACDSee" 

Setupcommand 一 "acdsee.exe" 

DisplayVersion=10.0 更 


Publisher 王 ACDSee 
Fa 图 11-36 ”安装 信息 描述 文件 的 内 容 


ee 图 
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exe= 


参数 说 明 如 下 。 
(1) Friendlyname: 信息 提示 。 
(2) Setupcommand: 指定 自动 化 安装 程序 需要 执行 的 命令 。 
(3) DisplayVersion: 显示 补丁 的 版 本 信息 。 
(4) Publisher: 补丁 程序 的 发 布 者 。 
(5) ext: 在 此 部 分 添加 的 扩展 名 称 将 成 为 自动 安装 文件 的 关联 。 
注意 : ZAP 文件 指向 实际 的 安装 文件 ,以 便于 运行 。 系 统管 理 员 应 该 确保 安装 程序 的 
命令 行 确实 就 是 指向 ZAP 文件 的 安装 程序 的 位 置 。 在 建立 完成 ZAP 文件 后 不 要 移动 它 ， 
移动 之 后 ZAP 将 不 能 正常 工作 。 最 简单 的 办 法 是 将 安装 文件 与 ZAP 文 件 复制 到 相同 的 目 
录 中 。 这 样 ,就 不 需要 输入 任何 路 径 来 指明 安装 文件 的 位 置 。 
2. 指定 安装 目录 
将 安装 程序 复制 到 D 盘 的 共享 文件 夹 Software 中 ,将 创建 的 ACDSee. zap 文件 复制 到 
当前 目录 下 ,使 补丁 程序 安装 文件 和 安装 信息 描述 文件 在 同一 目录 下 。 
注意 : 设置 该 共享 文件 夹 的 权限 和 网 络 用 户 访问 该 文件 天 的 权限 ,同时 设置 域 用 户 对 
该 文件 夹 的 访问 权限 。 
3. ZAP 软件 部 署 策略 
ZAP 软件 部 署 策略 的 步骤 如 下 。 
(1) 打开 “组 策略 管理 "窗口 ,在 想 要 发 布 的 计算 机 所 在 的 组 织 单位 中 创建 一 个 组 策略 ， 
如 图 11-37 所 示 。 
(2) 单 击 “ 确 定 ” 按 钮 ,创建 新 的 组 策略 对 象 。 
(3) 右 击 ACDSee 按钮 .在 快捷 菜单 中 选择 “编辑 "命令 ,打开 “组 策略 管理 编辑 器 ” 窗 
口 。 依 次 展开 Core->“ 用 户 配置 >“ 软件 设置 ">“ 软 件 安装 ”目录 。 
(4) 右 击 “软件 安装 ”选项 ,在 快捷 菜单 中 依次 选择 新建” 一 “数据 包 ” 命 令 , 显示 
图 11-38 所 示 的 “打开 ”对 话 框 。 在 “文件 名 ” 右 侧 的 下 拉 列 表 框 中 选择 “ZAW 早期 版 本 应 用 


程序 数据 包 ( x . zap)” 选 项 ,然后 选择 服务 器 上 存储 安装 文件 的 共享 文件 夹 。 需 要 注意 的 
是 ,此 处 也 必须 使 用 网 络 路 径 。 
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图 11-37 新 建 组 策略 图 11-38 “打开 ”对 话 框 
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(5) 单 击 “ 打 开 ” 按 钮 ,显示 图 11-39 所 示 的 “部 署 软 件 ” 对 话 框 。 计 算 机 配置 与 用 户 配 
置 的 软件 发 布 规则 稍 有 不 同 , 只 能 选中 “已 发 布 " 单 选 按钮 。 

(6) 单 击 “ 确 定 ” 按 钮 ,保存 设置 。 返 回 图 11-40 所 示 的 “组 策略 管理 编辑 器 ”窗口 , 即 可 
发 现 软 件 发 布 包 已 经 创建 完成 。 
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注意 : 使 用 zap 文件 的 方式 安装 系统 补丁 时 ,安装 的 对 象 只 能 是 使 用 者 ,并 且 使 用 者 通 
过 zap 的 方式 安装 补丁 的 时 候 , 必 须 具 备 管 理 员 的 权限 ,不 具备 管理 员 权 限 的 用 户 登 录 安 装 
补丁 时 ,会 因为 权限 不 足 而 导致 安装 补丁 失败 。 


习题 
使 用 组 策略 可 以 对 客户 端 进行 哪些 配置 ? 


实验 : 为 客户 端 分 发 EXE 软件 安装 包 


实验 目的 : 

掌握 使 用 组 策略 分 发 软件 的 技术 。 

实验 内 容 : 

创建 EXE 安装 程序 的 ZAP 文件 ,并 使 用 组 策略 分 发 在 网 络 中 的 客户 端 上 。 
实验 步骤 : 

(1) 创建 ZAP 文件 。 

(2) 将 安装 文件 复制 到 共享 文件 夹 中 ,并 指定 该 安装 目录 。 

(3) 创建 ZAP 软件 部 署 策 略 。 


当 按 计 算 机 的 电源 键 时 ,服务 器 就 开始 了 一 系列 复杂 的 启动 过 程 。 但 由 于 种 种 原因 , 系 
统 并 不 是 每 次 都 可 以 正常 地 启动 ,因此 ,需要 在 系统 无 法 正常 启动 时 ,快速 地 排除 故障 ,并 使 
系统 正常 启动 。 


12.1 系统 故障 诊断 与 排除 规划 


通常 情况 下 ,系统 故障 的 发 生 是 不 可 预料 的 ,并 且 也 是 不 可 避免 的 。 如 何 根据 网 络 需要 
施行 必要 的 保护 措施 ,从 而 将 由 系统 故障 而 造成 的 损失 降 到 最 低 , 这 是 每 个 管理 员 必须 学 习 
的 知识 。 


12.1.1 项 目 背 景 


鉴于 服务 器 在 网 络 中 的 重要 作用 ,保证 服务 器 的 正常 运行 就 显得 尤其 重要 。 无 论 采用 
多 全 面 的 保护 措施 ,都 不 能 保证 服务 器 一 直 保 持 正 常 工作 ,难免 会 发 生 不 同 的 故障 。 另 外 ， 
除 服务 器 自身 发 生 故 障 外 ,人 为 所 造成 的 故障 也 是 不 容 忽视 的 。 因 此 ,做 好 必要 的 备份 也 是 
减少 由 发 生 故 障 而 造成 损失 的 必要 工作 。 


12.1.2 项 目 需求 


在 该 项 目 中 ,最 重要 的 服务 器 是 域 控制 器 ,在 域 控制 器 上 保存 着 企业 中 的 所 有 用 户 账户 
信息 ,如 果 这 些 内 容 因 为 服务 器 故障 而 丢失 ,其 损失 是 无 法 估量 的 。 因 此 ,在 日 常服 务 器 的 
管理 中 ,应 对 服务 器 进行 相关 的 备份 操作 ,例如 设置 备份 计划 ,可 以 让 服务 器 定时 对 所 设置 
的 内 容 进行 备份 ,从 而 使 在 故障 发 生 时 .所 还 原 的 数据 是 最 新 的 。 

12.1.3 解决 方案 

对 于 服务 器 的 备份 与 恢复 .通常 情况 下 ,可 以 通过 如 下 两 种 方法 实现 。 

(1) 使 用 服务 器 自身 的 备份 机 制 ,在 发 生 故 障 时 使 用 最 近 一 次 正确 的 配置 。 

(2) 安装 备份 角色 ,通过 进行 备份 操作 ,在 服务 器 发 生 故 障 时 使 用 备份 进行 还 原 , 达 到 
恢复 服务 器 的 目的 。 
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12.2 ”选择 “最 近 一 次 的 正确 配置 "启用 系统 


每 次 系统 正常 启动 ,并 且 用 户 正 常 登录 后 ,系统 就 会 将 当前 的 系统 配置 进行 一 次 保存 ， 


这 里 所 保存 的 当前 系统 配置 ,就 是 所 谓 的 i 
“最 近 一 次 的 正确 配置 "。 如 果 因 为 用 户 更 2 


改 了 系统 配置 ,造成 系统 无 法 启动 的 话 , 则 


(1) 按 计算 机 电源 开关 ,并 迅速 按 F8 
键 ,显示 图 12-1 所 示 的 “高 级 启动 选项 ” 菜 


单 窗口 。 
(2) 使 用 方向 键 选择 “最 近 一 次 的 正 
确 配置 (高 级 ) "菜单 项 ,然后 按 Enter 键 ， 


系统 即 可 从 “最 近 一 次 的 正确 配置 "启动 
系统 。 


知识 链接 :“ 最 近 一 次 的 正确 配置 "使 用 情况 


在 下 列 情况 下 ,可 以 使 用 “最 近 一 次 的 正确 配置 "来 启动 Windows Server 2003 ; 

(1) 当 为 计算 机 安装 了 新 的 驱动 程序 后 ,而 造成 Windows Server 2003 停止 响应 或 无 法 启动 

(2) 默认 情况 下 ,系统 中 有 些 接口 或 服务 是 不 能 禁用 的 ,禁用 这 些 接口 或 服务 可 能 会 造 
成 系统 无 法 启动 。 

并 不 是 所 有 的 场合 都 适用 “最 近 一 次 的 正确 配置 ”, 也 有 一 些 场合 是 不 适用 的 ,具体 包括 
如 下 内 容 。 

(1) 系统 故障 并 不 是 由 系统 配置 引起 的 ,例如 重新 安装 设备 驱动 程序 等 。 

(2) 因为 硬件 故障 或 系统 文件 损坏 而 造成 的 系统 无 法 启动 

(3) 当 发 生 故 障 后 ,用 户 又 成 功 登 录 。 这 主要 是 因为 发 生 故 障 后 的 成 功 登 录 会 重新 生 
成 一 次 "最近 一 次 的 正确 配置 ”而 将 先前 的 “最 近 一 次 的 正确 配置 ?覆盖 掉 。 


12.3 ”服务 器 操作 系统 的 备份 与 还 原 


对 于 服务 器 而 言 , 仅 使 用 “最近 一 次 的 正确 配置 "是 远 远 不 够 的 ,这 是 因为 通常 在 服务 器 
中 会 保存 有 大 量 的 重要 数据 ,例如 用 户 账户 信息 、 系 统 设置 等 。 因 此 ,为 了 保证 在 服务 器 操 
作 系 统 发 生 故障 时 ,可 以 将 损失 降 到 最 低 ,建议 使 用 系统 自 带 的 备份 功能 进行 备份 ,在 发 生 
严重 故障 时 使 用 该 功能 进行 还 原 。Windows Server Backup 支持 图 形 模式 和 命令 行 模式 ， 
对 于 域 控制 器 的 备份 而 言 . 既 可 以 支持 域 控制 器 完整 备份 ,又 同时 支持 组 件 备份 。 


12.3.1 安装 “备份 ”功能 


Windows Server 2008 中 没有 提供 类 似 于 Windows Server 2003 或 Windows XP 的 “ 备 


图 12-1 “高 级 启动 选项 "菜单 窗口 
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份 和 还 原 向 导 ”, 取 而 代 之 的 是 Windows Server Backup 备份 工具 ,该 工具 默认 是 不 被 安装 
的 ,需要 在 “服务 器 管理 器 "中 手动 添加 。 

(1) 在 “服务 器 管理 器 "窗口 中 ,展开 “功能 ”目录 ,在 窗口 右 侧 单 击 “ 添 加 功能 ”链接 , 显 
示 图 12-2 所 示 的 “选择 功能 "对话 框 。 在 “功能 ”列表 框 中 ,选中 “Windows Server Backup 功 
能 ” 复 选 框 。 默 认 情 况 下 ,只 选中 Windows Server Backup 复 选 框 ,根据 需要 还 可 以 安装 命 
令 行 工具 。 


Ep nag [29] 


图 12-2 “选择 功能 "对 话 框 


当选 中 “命令 行 工 具 ” 复 选 框 时 ,显示 图 12-3 所 示 的 “添加 功能 向 导 ” 对 话 框 。 提 示 需 要 
安装 Windows PowerShell 工具 , 单 击 * 添 加 必需 的 功能 "按钮 ,同意 安装 该 功能 即 可 。 
Er > 


起 是 百 尖 加 命令 行 工具 所 用 的 只 能? 
£5) ee 站 三 工具 Fo 
EO st 


ad Ped mds Perahsll 是 一 种 人行 界 … 


EE ma | 


国 


图 12-3 “添加 功能 向 导 ” 对 话 框 


(2) 单 击 “ 下 一 步 "按钮 .显示 “确认 安装 选择 "对话 框 ,显示 了 前 面 选 择 的 要 安装 的 功 
能 ,如 果 安 装 完成 之 后 需要 重新 登录 系统 或 重新 启动 服务 器 ,这 里 也 会 出 现 提示 信息 。 

(3) 单 击 “安装 "按钮 , 即 可 开始 安装 。 安 装 完成 后 显示 图 12-4 所 示 的 “安装 结果 ”对 话 
框 ,如 果 全 部 安装 成 功 则 不 会 出 现 报错 信息 ,如 果 未 能 安装 成 功 则 会 提示 失败 的 原因 及 修复 
郁 潜 。 

(4) 单 击 “ 关 闭 ” 按 钮 ,关闭 安装 向 导 即 可 。 


12.3.2 设置 备份 有 效 时 间 
当 活 动 目 录 中 的 一 个 对 象 被 删除 时 ,该 对 象 并 不 会 被 彻底 删除 ,而 会 成 为 一 个 被 标记 为 
“墓碑 记录 ”的 记录 。 在 Windows Server 2008 中 ,默认 的 “墓碑 记录 ?生存 周期 为 180 天 ， 


180 天 之 后 被 标记 为 “墓碑 记录 ”的 记录 才 会 被 永久 删除 。 在 默认 状态 下 ,不 能 从 比 墓碑 默 
认 的 生存 记录 时 间 更 久 的 系统 状态 备份 数据 中 恢复 Active Directory 数据 库 。 
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打 加 ,全 让 或 前 由 于 打 伯 发送 克基 失声 
ET 下 -过后 mi 
图 12-4 安装 结果 


通常 情况 下 ,为 了 实际 需要 ,用 户 可 以 修改 该 莫 碑 的 生存 时 间 , 具 体操 作 步骤 如 下 。 
(1) 依次 选择 * 开 始 ”->* 管 理工 具 ”->ADSI Edit 命令 ,显示 ADSI Edit 窗口 。 右 击 左 侧 
窗口 的 ADSI Edit 选项 并 在 快捷 菜单 中 选择 “连接 到 ”命令 ,显示 图 12-5 所 示 的 “连接 设置 


对 话 框 。 在 “选择 一 个 已 知 命名 上 下 文 " 下 拉 列 表 框 中 选择 “配置 "选项 。 


TET 0 
文件 妈 报 作 WD 下 看 0 天助 名 


和 中 rm a | 日 mm 
[ET 


『 计 机 
个 选 乓 或 娃 入 二 或 服务 器 器: 服务 器 | 托 [- 庙 口 ]) 


人 默认 (您 党 录用 3 拭 或 服务 中) G) 
厂 局 用 基于 ssL 的 加 守 员 ) 


BV... Cj] _w 
[ Ll 


图 12-5 “连接 设置 "对 话 框 


(2) 单 击 “确定 ”按钮 ,关闭 “连接 设置 ”对话 框 ,返回 到 ADSI Edit 窗口 。 

(3) 在 左 侧 栏 中 ,依次 展开 “配置 [AD-1. coolpen. net]”>CN== Configuration, DC 一 
coolpen, DC=net>CN= Services>CN 一 Windows NT-~CN 王 Directory Service 目录 ,如 
12-6 所 示 。 

(4) 右 击 CN 一 Directory Service 选项 并 在 快捷 菜单 中 选择 “属性 ”命令 ,显示 图 12-7 所 示 
的 “CN 二 Directory Service 属性 ”对 话 框 。 在 “属性 ”列表 中 ,选择 tombstoneLifetime 选项 。 
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文 伯 四 所作 由。 查看 oD。 履 助 om 
和 路 | 为 四 | 里 加 过 | 加 加 
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全 设置 》 
oo6/1018 18 52.41 中 国标 个 后 。 要 
| 


司 coFralmom seeerity rrincipus 


四 
[二 有 
图 12-6 配置 内 容 图 12-7 “CN=Directory Service 
属性 ”对话 框 
(5) 单 击 “编辑 按钮 ,显示 图 12-8 所 示 的 “整数 属 OI > 
性 编辑 器 "对 话 框 。 在 “ 值 ” 文 本 框 中 ,输入 新 的 墓碑 生 时 seer 
存 时 间 即 可 ,例如 360。 _mo | rm | 


(6) 依次 单 击 “确定 ?按钮 ,保存 设置 , 即 可 完成 墓 图 12-8 “整数 属性 编辑 器 "对 话 框 
碑记 录 时 间 的 修改 。 

12.3.3 完全 备份 

完全 备份 是 指 备份 当 前 服务 器 的 所 有 数据 . 即 所 有 逻辑 磁盘 上 的 文件 ,此 时 可 能 要 花费 
较 多 的 时 间 , 但 备份 数据 全 面 ,可 操作 性 强 。 备 份 数据 可 以 选择 保存 在 本 地 DVD 驱动 器 的 
可 写 人 磁盘 上 ,也 可 以 选择 网 络 上 的 共享 目录 作为 目标 路 径 。 

(1) 依次 选择 “开始 ”一 “管理 工具 ”一 Windows Server Back 命令 ,打开 图 12-9 所 示 的 
Windows Server Backup 窗口 。 也 可 以 在 “运行 ”对话 框 中 ,输入 wbadmin. msc 启动 备份 工具 。 
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[ 工 自 ai 四 
革 你 可 以 使 用 此 应 用 程序 执行 单一 备份 或 安排 宝 阴 备份 Fr 站 
让 尚未 对 此 计 其 机 上 了 村人 何 备份。 潮 全 用 各 份 计划 各 号 委 一 次 性 各 从 同行 守明 备份 和 一 次 性 备份 一 从 
消息 各 
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图 12-9 ”Windows Server Backup 窗口 
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(2) 在 右 侧 “操作 ” 窗 格 中 , 单 击 “ 一 次 性 备份 "链接 ,启动 备份 向 导 , 如 图 12-10 所 示 。 
由 于 没有 配制 备份 计划 ,所 以 只 能 选中 “不 同 选项 " 单 选 按钮 。 

(3) 单 击 “ 下 一 步 "按钮 ,显示 图 12-11 所 示 的 “选择 备份 配置 ”对话 框 。 选 中 “整个 服务 
器 ( 推 荐 )" 单 选 按 钮 , 即 备 份 当前 服务 器 的 所 有 数据 、 应 用 程序 和 系统 状态 。 


划 | 
好 备份 选项 
立即 使 用 以 下 方式 创建 备份; 
eee 人 痛 价 件 粳 可 号 中 轩 于 千惠 扣 们 的 利 所 吉 抽 名 
指定 是 村 类 型 
不 网 轩 需 贡 
ar ee 于 ,请 为 比 禹 份 措 宅 与 计划 
备份 浊 概 


Bs 


丰 关 备 从 服务 尖 的 妾 反 信 息 
= 29w | 一 参 [7 ;| am | 旺 
图 12-10 “备份 选项 "对 话 框 图 12-11 “选择 备份 配置 "对 话 框 


注意 : 在 此 之 前 ,如 果 已 经 创建 了 该 服务 器 的 备份 , 则 继续 执行 备份 将 可 能 导致 原来 的 
备份 被 覆盖 。 此 时 ,会 显示 图 12-12 所 示 的 提示 框 ,如 果 单 击 “ 否 ”按钮 ,将 退出 该 向 导 , 单 击 
“是 "按钮 ,可 继续 备份 操作 ,同时 也 会 覆盖 原 备份 文件 。 

(4) 单 击 “ 下 一 步 "按钮 ,显示 图 12-13 所 示 的 “指定 目标 类 型 ”对话 框 。 选 中 “本 地 了 驱动 
器 " 单 选 按钮 ,可 以 将 备份 保存 至 本 地 逮 辑 驱动 器 或 DVD 驱动 器 ; 选中 “远程 共享 文件 夹 ” 
单 选 按钮 ,可 以 将 备份 保存 至 局 域 网 中 指定 的 共享 文件 夹 中 。 这 里 选中 “远程 共享 文件 夹 ” 
单 选 按钮 。 

提示 : 建议 将 备份 保存 至 DVD 驱动 器 或 远程 共享 文件 夹 中 ,这 样 安全 程度 相对 较 高 。 
如 果 保 存 至 本 地 磁盘 , 则 将 自动 从 备份 目标 中 别 除 作为 保存 目录 的 磁盘 分 区 ,并 且 服 务 器 出 
现 磁盘 故障 时 ,备份 数据 也 将 丢失 。 
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天 训 到 四 
0，\Wfilesarve Sh er olde 


ER Bd] 7 Wi | @ 
图 12-12 提示 信息 图 12-13 “指定 目标 类 型 "对 话 框 


(5) 单 击 “下 一 步 ?按钮 ,显示 图 12-14 所 示 的 “指定 远程 文件 夹 ” 对 话 框 。 在 “请 输入 远 
程 共享 文件 夹 的 路 径 ” 文 本 框 中 ,输入 目标 路 径 。 在 “访问 控制 选项 区 域 中 ,选中 “不 继承 ” 
单 选 按钮 , 则 可 以 为 特定 的 用 户 账户 赋予 访问 此 备份 的 权限 ,如 果 选 中 “继承 " 单 选 按 钮 , 则 


ee 图 
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任何 用 户 账户 都 可 以 访问 备份 文件 。 
(6) 单 击 “ 下 一 步 ” 按 钮 ,显示 图 12-15 所 示 的 “提供 用 于 备份 的 用 户 凭据 ”对 话 框 ,分 别 
在 “用 户 名 ”和 “密码 ”文本 框 中 ,输入 具体 共享 文件 夹 访问 权限 的 用 户 名 和 和 密码。 需要 注意 的 
是 ,该 用 户 必须 是 远程 计算 机 中 已 经 赋予 足够 权限 的 用 户 账户 ,否则 备份 将 无 法 顺利 进行 。 


| 
好 指定 远 各 文件 夫 
ed A 
a 
音 份 尖 要 ef 
下 
六 
tBu] Sr LL 
图 12-14 “指定 远程 文件 夹 " 对 话 框 图 12-15 


“提供 用 于 备份 的 用 户 凭据 ”对话 框 


(7) 单 击 “ 确 定 ” 按 钮 ,显示 图 12-16 所 示 的 “指定 高 级 选项 "对话 框 。 如 果 使 用 第 三 方 
的 备份 软件 ,建议 选中 *VSS 副本 备份 (推荐 )" 单 选 按钮 如 果 使 用 Windows Server 2008 
提供 的 备份 程序 ,建议 选中 *VSS 完全 备份 " 单 选 按钮 。 

(8) 单 击 “ 下 一 步 " 按 钮 ,显示 图 12-17 所 示 的 “确认 ”对 话 框 。 显 示 已 经 设置 的 “备份 项 
目 ”“ 备 份 目 标 ” 以 及 “高 级 选项 "等 , 单 击 * 上 一 步 " 按 钮 可 返回 重新 设置。 
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图 12-16 “指定 高 级 选项 "对话 框 图 12-17 “确认 ”对 话 框 


(9) 单 击 “备份 ”按钮 , 即 可 开始 备份 ,如 图 12-18 所 示 。 如 果 需 要 备份 的 文件 较 多 , 则 
可 能 需要 较 长 的 时 间 。 备 份 至 网 络 存 储 器 时 更 应 注意 确保 网 络 连 接 的 稳定 。 

提示 : 备份 过 程 中 ,可 单 击 “ 关 闭 ” 按 钮 关闭 当前 对 话 框 ,备份 向 导 将 在 后 台 继续 运行 。 

12.3.4 自 定义 备份 

自 定义 备份 允许 用 户 对 要 备份 的 分 区 进行 选择 ,例如 只 备份 系统 分 区 (网 络 服务 关键 数 


据 所 在 分 区 ) ,此 时 备份 则 可 以 保存 在 其 他 逻辑 分 区 或 磁盘 ,可 以 节约 备份 时 间 开 销 。 在 “ 选 
择 备份 配置 "对话 框 中 ,选中 “ 自 定义 ” 单 选 按 钮 ,并 单 击 “ 下 一 步 " 按 钮 ,打开 图 12-19 所 示 的 
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454 ”网 络 管理 与 工具 软件 应 用 
“选择 备份 项 目 "对 话 框 。 在 “希望 备份 哪些 卷 " 列 表 中 ,选择 想 要 备份 的 分 区 即 可 。 需 要 注 


意 的 是 ,如 果 不 想 备 份 系统 分 区 , 则 应 取消 选中 “启用 系统 恢复 ” 复 选 框 。 接 下 来 的 其 他 操作 
与 "完全 备份 "完全 相同 ,此 处 不 再 歼 述 。 
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到 关 间 了 村 ， 痢 从 可 在 后 全 二。 
ED TO 请 ‘tSw TS 7 | mn 
图 12-18 备份 进度 图 12-19 “选择 备份 项 目 ” 对 话 框 


12.3.5 恢复 


通过 使 用 恢复 功能 ,可 以 快速 解决 由 于 操作 不 当 或 系统 故障 而 导致 的 服务 器 无 法 正常 工 
作 的 问题 。 恢 复 操作 同样 需要 借助 Windows Server Backup 工具 完成 ,具体 操作 步骤 如 下 。 

(1) 在 Windows Server Backup 主 窗 口中 , 单 击 “ 恢 复 ” 链 接 , 打 开 “ 入 门 ” 对 话 框 。 提 示 
选择 要 从 哪个 备份 恢复 服务 器 数据 , 既 可 以 使 用 本 地 计算 机 中 存储 的 备份 ,也 可 以 使 用 远程 
计算 机 共享 的 该 服务 器 备份 ,这 里 选中 “此 服务 器 ? 单 选 按钮 。 如 果 和 欲 从 另 一 台 服 务 器 恢复 
数据 ,可 选中 * 另 一 个 服务 器 ? 单 选 按钮 。 

(2) 单 击 “ 下 一 步 " 按 钮 ,显示 图 12-20 所 示 的 “选择 备份 日 期 "对 话 框 。 用 户 可 以 在 日 
期 列表 中 选择 备份 的 日 期 ,如 果 同 一 天 中 保存 了 多 个 备份 ,可 以 继续 在 时 间 下 拉 列 表 框 中 选 
择 不 同 的 时 间 。 


EE 
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图 12-20 “选择 备份 日 期 "对 话 框 
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(3) 单 击 "下 一 步 "按钮 ,显示 图 12-21 所 示 的 “选择 恢复 类 型 ”对话 框 。 选 中 “文件 和 文 
件 夹 " 单 选 按 钮 ,可 根据 自己 的 需要 选择 备份 中 需要 恢复 的 文件 或 文件 夹 中 的 数据 ,操作 的 


前 提 是 备份 中 包括 文件 和 文件 夹 ,应 用 程序 恢复 也 是 如 此 ; 选中 “ 卷 " 单 选 按钮 , 则 将 恢复 指 
定 的 磁盘 分 区 。 这 里 选中 “ 卷 " 单 选 按 钮 。 


(4) 单 击 “ 下 一 步 "按钮 ,显示 图 12-22 所 示 的 “选择 卷 " 对 话 框 。 选 中 备份 中 需要 恢复 
的 卷 ,然后 再 在 “目标 卷 " 下 拉 列 表 框 中 选择 需要 恢复 到 的 卷 。 


提示 : 执行 卷 恢 复 后 ,目标 卷 上 的 数据 将 全 部 丢失 。 


斋 员 疝 与 


| PE 到 
由 选择 恢复 类 型 名 选择 大 
2 上 A? AD 音 二 屋 千 和 可 计 并 要 从 基 有 从)- 

个 实 件 和 诡 伯 才 虽 和 和 玉昌 基 和 1_ 肛 妈 , 旧 椒 个 上 
ED 人 而 用 吉 斥 Ww] [2 地 Ez Em | 
确认 司 RR 攻 用 慑 原 ， 可 Weken Sharatyins Sorvionns Re ET TT Ee 四 而 ”多 丁 间 
由 人 
区 te nr 会 上 存 们 3 有 趟 据 " 不 能 仅 记 所 过 文件 和 la 

正在 使 用 全 人 行 去 扫 行 系 绽 拓 六 居间 
es 2 | mn | 上 -eg 上 [正中 25E | m 


图 12-21 “选择 恢复 类 型 "对 话 框 图 12-22 “选择 卷 "对 话 框 


(5) 单 击 * 下 一 步 按 钮 ,提示 恢复 卷 后 将 出 现 的 结果 , 单 击 * 是 ?按钮 继续 即 可 ,显示 
图 12-23 所 示 的 “确认 ”对 话 框 。 如 果 前 面 有 漏 选 的 需要 恢复 的 项 目 , 则 可 以 单 击 * 上 一 步 ” 
按钮 返回 修改 。 

(6) 单 击 “ 恢 复 ” 按 钮 , 即 可 开始 恢复 ,如 图 12-24 所 示 。 根 据 恢复 数据 量 的 大 小 所 需 的 


时 间 会 有 所 不 同 , 如 果 源 数据 位 于 远程 计算 机 上 , 则 恢复 时 间 还 取决 于 网 络 传输 速率 的 
限制 。 


到 到 
名 war 
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和 要 完 的 向导 并 妈 续 ， 请 单 覃 “关闭 ”” 


图 12-23 “确认 "对话 框 图 12-24 “恢复 进度 ”对话 框 
(7) 恢复 完成 后 , 单 击 “ 关 闭 ” 按 钮 ,退出 向 导 即 可 。 


12.3.6 定制 备份 计划 
除 手动 备份 服务 器 之 外 ,还 可 以 通过 定制 备份 计划 实现 自动 备份 。 
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(1) 在 Windows Server Backup 主 窗口 中 , 单 击 “备份 计划 ?链接 , 即 可 启动 备份 计划 
向 导 ”。 在 “人 门 ? 对 话 框 中 ,直接 单 击 “ 下 一 步 按 钮 ,显示 图 12-25 所 示 的 “选择 备份 配置 ” 
对 话 框 ,系统 默认 将 备份 整个 服务 器 上 的 所 有 数据 ,选中 “ 自 定义 ” 单 选 按钮 。 

(2) 单 击 “ 下 一 步 " 按 钮 ,显示 图 12-26 所 示 的 “选择 备份 项 目 ” 对 话 框 ,取消 列表 中 不 需 
要 备份 的 分 区 即 可 。 需 要 注意 的 是 ,系统 分 区 是 不 可 取消 的 。 


到 
让 选择 备份 配置 
An 
sm sn nr. 
ee ee 
re 要 从 计划 尾 份 中 拓 了 一 些 答 。 
者 
行人 和 从 
[Eo] Ts 四 ?| | ET 
图 12-25 “选择 备份 配置 "对 话 框 图 12-26 “选择 备份 项 目 "对 话 杠 


(3) 单 击 * 下 一 步 ? 按 钮 ,显示 图 12-27 所 示 的 “指定 备份 时 间 ” 对 话 框 。 选 中 “每 日 一 
次 ” 单 选 按钮 ,并 在 “选择 时 间 ” 下 拉 列 表 框 中 ,选择 合适 的 时 间 , 服 务 器 即 可 每 天 自动 备份 ; 
选中 “每 天 多 次 " 单 选 按钮 ,并 在 “可 用 时 间 ” 列 表 中 ,选择 指定 的 时 间 添 加 至 “已 计划 的 时 间 ” 
列表 中 ,服务 器 可 每 天 进行 多 次 自动 备份 。 

(4) 单 击 “ 下 一 步 "按钮 ,显示 图 12-28 所 示 的 “选择 目标 磁盘 "对话 框 。 管 理 员 可 以 选 
择 一 个 或 多 个 目标 磁盘 用 于 存储 备份 文件 ,默认 情况 下 ,“ 可 用 磁盘 "列表 是 空白 的 ,需要 用 
户 手 动 添加 。 


| 划 | 
刻 指定 备份 时 间 记 选择 目标 远 盘 
An 人 人 则 及 An 人 
检定 和 时 间 司 用 垃 绕 由)- 
对 自持 | TT m7 7 T 
怀 记 目标 i 标记 自 村 i 旦 
请 内 酌 认 
所 要 摘要 
FA 
工 搁 趟 到 外 部 流 鱼 系 才 附加 到 158 或 Firehire 祖 口 的 昼 盘 ， 
< 上 - 步 中 25v [2 ET ar 请 
图 12-27 “指定 备份 时 间 "对话 框 图 12-28 “选择 目标 磁盘 "对话 框 


(5) 单 击 “显示 所 有 可 用 磁盘 ?按钮 ,服务 器 通常 会 同时 挂 接 多 块 硬盘 ,分 别 用 于 存储 系 
统 ` 数 据 ` 备 份 等 文件 ,默认 在 "所 有 磁盘 ?列表 中 会 显示 所 有 可 以 使 用 的 磁盘 , 即 系统 所 在 磁 
盘 之 外 的 其 他 磁盘 。 选 择 用 于 存储 备份 的 磁盘 即 可 。 

(6) 单 击 “ 确 定 ” 按 钮 .显示 图 12-29 所 示 的 对 话 框 。 提 示 被 选 磁盘 将 被 重新 格式 化 , 磁 
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盘 上 的 所 有 数据 都 将 丢失 。 并 且 被 选择 存储 备份 的 磁盘 不 可 再 用 于 存储 其 他 数据 ,在 
Windows 资源 管理 器 中 也 不 会 显示 该 磁盘 。 

(7) 单 击 “ 是 ”按钮 ,显示 图 12-30 所 示 的 “标记 目标 磁盘 ”对话 框 。 被 选 磁盘 将 自动 显 
示 在 磁盘 列表 中 ,并 被 标记 了 标签 信息 ,通常 包括 服务 器 名 称 、 备 份 日 期 时 间 等 。 为 了 便于 
区 分 ,建议 将 该 标签 信息 以 便签 的 方式 粘贴 在 磁盘 上 面 。 


IE 
TTT 


EE | 


用 二 “是 " 可 以 使 有 Hii。 


一 一 GET Wi | mW 
图 12-29 Windows Server Backup 对 话 框 图 12-30 “标记 目标 磁盘 ”对话 框 
(8) 单 击 “ 下 一 步 ” 按 钮 .显示 图 12-31 所 示 的 “确认 "对话 框 ,仔细 审查 备份 计划 中 的 所 
有 项 目 , 如 需 修改 可 单 击 "* 上 一 步 "按钮 返回 。 


(9) 单 击 “ 完 成 "按钮 ,显示 图 12-32 所 示 的 对 话 框 ,继续 单 击 “ 格 式 化 磁盘 ”按钮 即 可 格 
式 化 所 选 磁盘 并 完成 备份 计划 。 


| EI 
3 wu 3 mu 
An 人 An WS Ef 
过 入 人 a | 
和 和 备份 顺 上 :a1:00 过 各 和 全顺 
Cn Oe es 
本 二 Cr 。 
aan) rg 代 玫 归 动 深 6 中 的 光 色 之 前 喀 要 庆 格 式 化 。 
Lp i a 
- | Ces] a | 
上] 二 2 Case] ww | se Lk 2 | LT | -| 
图 12-31 “确认 ”对 话 框 图 12-32 格式 化 磁盘 


(10) 最 后 , 单 击 * 关 闭 "按钮 ,退出 向 导 即 可 。 
12.3.7 文件 恢复 


Windows Server Backup 功能 可 以 恢复 备份 中 的 文件 和 文件 夹 ,并 提供 恢复 向 导 , 网 络 
管理 员 根 据 提示 恢复 即 可 。 

提示 : 在 恢复 Active Directory 域 控制 器 中 的 文件 时 ,建议 使 用 “目录 还 原 模 式 ”, 确 保 
域 控制 器 的 安全 。 
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(1) 进入 目录 服务 还 原 模式 。 重 新 启动 计算 机 ,在 启动 Windows Server 2008 前 , 按 F8 
键 进入 “高 级 启动 选项 ”菜单 界面 。 通 过 键盘 上 的 方向 键 选择 “目录 服务 还 原 模式 ”选项 ,如 
图 12-33 所 示 。 

(2) 按 Enter 键 , 加 载 操 作 系 统 文件 ,出 现 Windows Server 2008 登录 窗口 ,在 用 户 名 文 
本 框 中 ,输入 . \administrator 登录 到 本 机 ,在 密码 文本 框 中 ,输入 目录 还 原 模式 密码 ,如 
图 12-34 所 示 。 


图 12-33 “高 级 启动 选项 "菜单 界面 图 12-34 Windows Server 2008 登录 窗口 


(3) 启动 完成 ,Windows Server 2008 系统 处 于 安全 模式 ,如 图 12-35 所 示 


ES 


图 12-35 Windows Server 2008 桌面 


(4) 依次 选择 “开始 ”一 “管理 工具 ”一 Windows Server Backup 命令 ,打开 Windows 
Server Backup 窗口 

(5) 在 右 侧 “操作 ”面板 中 , 单 击 “ 恢 复 ” 按 钮 ,打开 “入 门 ” 对 话 框 。 选 择 需 要 恢复 的 目标 
服务 器 ,选中 “此 服务 器 " 单 选 按钮 , 即 恢复 本 地 计算 机 。 

(6) 单 击 “ 下 一 步 ” 按 钮 ,显示 “选择 备份 日 期 ”对 话 框 。 选 择 已 经 备份 成 功 的 备份 ,选择 
备份 内 容 以 及 备份 时 间 。 

(7) 单 击 “ 下 一 步 ” 按 钮 ,显示 图 12-36 所 示 的 “选择 恢复 类 型 ”对 话 框 。 在 这 里 可 以 选 
中 恢复 “文件 和 文件 夹 ” 或 “ 卷 " 单 选 按 钮 ,根据 需要 进行 选择 即 可 ,这 里 选中 “文件 和 文件 夹 ” 


ee 图 
第 12 章 ”系统 故障 诊断 与 排除 ”459 
单 选 按钮 。 


(8) 单 击 “ 下 一 步 " 按 钮 ,显示 图 12-37 所 示 的 “选择 要 恢复 的 项 目 ” 对 话 框 。 在 “可 用 项 


目 ? 列 表 中 ,选择 需要 还 原 的 目标 文件 夹 ,在 右 侧 的 列表 中 显示 选择 的 文件 夹 中 包含 的 文件 ， 
网 络 管理 员 可 以 选择 一 个 文件 或 者 多 个 文件 。 


| EECEEB | 
多 选择 恢复 类 型 多 选择 要 恢复 的 项 目 
An 
bien) 诡 件 和 朗 伯 夫 @) 
可 比价 中 思 久 的 生 ， 并 和 入 伯伯 夫 : 
过 和 要 大 目 ME 
所 全 人 而 YE Tt swvw heng 主语 用 李 刘 ， 
确认 和 
人 te mmiemint. TER 


= c | 丁 = | 畏 


图 12-36 “选择 恢复 类 型 "对 话 框 图 12-37 “选择 要 恢复 的 项 目 ” 对 话 框 


(9) 单 击 “ 下 一 步 " 按 钮 ,显示 图 12-38 所 示 的 “指定 恢复 选项 ”对 话 框 。 将 选择 文件 恢 
复 的 目标 文件 夹 ,可 以 恢复 到 原始 位 置 或 者 重 定向 到 新 的 位 置 。 如 果 在 目标 文件 夹 中 已 经 
存在 同名 文件 时 ,网 络 管理 员 可 以 根据 需要 选择 创建 文件 副本 还 是 覆盖 文件 或 者 不 恢复 选 
择 的 文件 夹 。 这 里 选中 * 另 一 个 位 置 " 单 选 按 钮 .并 在 其 文本 框 中 输入 想 要 恢复 到 的 文件 夹 ， 
或 单 击 “ 浏 览 ” 按 钮 ,浏览 恢复 到 的 目标 目录 。 


(10) 单 击 “ 下 一 步 ” 按 钮 ,显示 图 12-39 所 示 的 “确认 ”对 话 框 ,显示 恢复 文件 的 “恢复 目 
标 ”“ 恢 复 选项 ”“ 安 全 设置 "等 信息 。 


| ul 
必 指定 恢复 选项 i 
Pe An 全。 snowisys 加 全 
有人 pa 5 
RNR 6 另 一 个 位 置办 en] Lrc 一 ar 一 
EL ee 
确认 
bani 人 时 于 E， 以 全 提 具有 丙 个 本 的 人 村 六 析 去 世 ) CE 四 
下 他 
人 天 全 
人 上村 
| PE ee 
六 8 站， 下 
< 上 -四 | 下 -5 四 5E | 0 PP 


图 12-38 “指定 恢复 选项 "对 话 框 图 12-39 “确认 "对 话 框 


(11) 单 击 “ 恢 复 ” 按 钮 , 即 可 执行 文件 恢复 ,恢复 完成 后 ,显示 图 12-40 所 示 的 “恢复 进 
度 ? 对 话 框 。 

(12) 单 击 “ 关 闭 ” 按 钮 ,完成 文件 恢复 。 

12.3.8 非 权 威 还 原 


域 控制 器 的 系统 状态 还 原 必须 在 目录 还 原 模式 中 进行 ,还 原 操作 使 用 Wbadmin. exe 命 


9 


460 ”网 络 管理 与 工具 软件 应 


令 行 完成 。 这 里 以 恢复 系统 状态 的 方 


(1) 在 命令 提示 符 中 输入 如 下 命令 。 


wbadmin get versions 


按 Enter 键 运行 ,查看 Active Directory 服务 器 备份 列表 ,注意 每 次 备份 中 的 版 本 标识 
符 , 如 图 12-41 所 示 。 


FEE Ee 
蕊 恢复 进度 
a 
| 
有 T 有 和 [站 所 I 
Pe 
图 12-40 “恢复 进度 "对 话 框 图 12-41 查看 备份 列表 


(2) 在 命令 提示 符 中 输入 如 下 命令 


wbadmin start systemstaterecovery -version: 12/05/2008-12 


按 Enter 键 运行 ,提示 网 络 管理 员 是 否 要 执行 系统 状态 恢复 ,如 图 12-42 所 示 。 


是 否 村 启动 系统 状态 恢复 气 作 ? 
tv 是 Im 区 


图 12-43 ”开始 执行 恢复 


(4) 还 原 完成 后 ,显示 图 12-44 所 示 的 窗口 。 


. 
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图 12-44 ”完成 还 原 


(5) 重新 启动 服务 器 ,在 正常 模式 下 登录 Windows Server 2008 活动 目录 ,完成 Active 
Directory 数据 库 的 还 原 即 可 。 需 要 的 是 ,在 重新 启动 服务 器 时 ,将 可 能 会 多 次 重新 启 
动 计算 机 。 服 务 器 重启 后 , 显 示 图 1 12-45 所 示 的 提示 框 


状态 恢复 操作 已 成 功 完成 


图 12-45 ”提示 完成 恢复 
(6) 按 Enter 键 ,完成 并 关闭 该 窗口 即 可 
12.3.9 权威 还 原 


在 管理 Active Directory 的 时 候 , 网 络 管理 员 可 能 会 错误 地 删除 了 一 个 不 应 该 删除 的 用 
户 或 者 组 ,如 果 使 用 同样 的 用 户 名 称 添加 一 个 同名 的 用 户 , 则 以 前 的 账户 信息 和 其 他 的 文件 
所 有 权 信 息 会 全 部 丢失 ,同时 会 禁止 访问 某 些 网 络 资源 

例如 ,网 络 管理 员 在 维护 Active Directory 用 户 时 ,删除 了 czc 用 户 , 本 例 以 “权威 还 原 ” 
模式 恢复 该 用 户 

(1) 进入 "目录 还 原 ” 模 式 , 具 体操 作 参 见 “ 非 权威 还 原 ”, 这 里 不 再 袭 述 。 

(2) 在 命令 提示 符 中 输入 如 下 命令 


ntdsutil 
(3) 在 ntdsutil 命令 提示 符 中 输入 如 下 命令 
activate instance NTDS 


按 Enter 键 运行 ,激活 NTDSActive Directory 数据 库 实 例 , 如 图 12-46 所 示 。 
(4) 在 命令 提示 符 中 输入 如 下 命令 。 


authoritative restore 
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图 12-46 ”激活 NTDSActive Directory 数据 库 实例 
按 Enter 键 运行 。 
(5) 在 authoritative restore 命令 提示 符 中 输入 如 下 命令 。 
restore object cn= czc,ou 一 coolpen, dc 一 coolpen, dc 一 net 
按 Enter 键 运行 ,权威 性 地 恢复 已 经 删除 的 用 户 czc, 显 示 图 12-47 所 示 的 “授权 还 原 确 
认 对 话 ” 对 话 框 。 
(6) 单 击 “是 ?按钮 ,开始 执行 恢复 过 程 ,执行 完成 后 显示 图 12-48 所 示 的 运行 结果 。 


gj 


4 
加 Et 
ET EE 


图 12-47 “授权 还 原 确认 对 话 ” 对 话 框 图 12-48 ”完成 恢复 
(7) 输入 两 次 quit ,返回 到 命令 行 窗 口 ,完成 已 经 删除 对 象 的 恢复 
12.3. 10 知识 链接 : 活动 目录 数据 库 恢复 


活动 目录 数据 库 恢 复 包 括 两 种 模式 : 非 授权 还 原 和 授权 还 原 

1. 非 授权 还 原 

在 同一 个 域 中 的 域 控制 器 之 间 随 时 都 在 同步 数据 ,以 保障 所 有 域 控制 器 中 的 数据 都 是 
相同 的 , 当 一 台 域 控制 器 中 产生 新 的 数据 时 ,这 个 变化 就 会 同步 到 域 中 其 他 域 控制 器 中 。 在 
网 络 中 可 能 遇 到 这 种 情况 , 域 控制 器 坏 了 ,或 者 想 要 重新 安装 域 控制 器 ,可 以 先 安装 操作 系 
统 , 然 后 恢复 之 前 备份 的 数据 库 。 恢 复 完成 后 ,将 自动 和 域 中 的 其 他 域 控制 器 同步 ,如 果 恢 
复 后 的 域 控制 器 的 数据 比较 旧 , 其 他 域 控制 器 自动 将 数据 复制 到 该 域 控制 器 中 ,这 种 "自然 ” 
恢复 称 为 “ 非 权威 还 原 ”。 

在 正常 还 原 操作 中 ,备份 会 在 非 授权 还 原 模式 下 执行 。 也 就 是 说 ,要 还 原 的 所 有 数据 ， 
其 中 也 包括 活动 目录 对 象 ,都 将 使 用 它们 的 原始 更 新 序列 号 。 所 有 未 经 授权 还 原 的 数据 ,都 
将 在 活动 目录 复制 系统 中 出 现 , 尽 管 数据 是 旧 的 。 这 就 意味 着 数据 不 会 复制 到 其 他 服务 器 。 
但 如 果 其 他 服务 器 中 出 现 较 新 的 数据 时 ,活动 目录 复制 系统 将 会 使 用 这 些 比 较 新 的 数据 来 
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更 新 经 过 还 原 的 数据 。 如 果 要 将 已 还 原 的 数据 复制 到 其 他 服务 器 ,必须 使 用 授权 还 原 模式 。 

2. 授权 还 原 

在 默认 情况 下 ,还 原 Active Directory 数据 库 的 模式 为 非 授权 还 原 ,使 用 此 方式 还 原 
Active Directory 后 ,将 从 其 他 的 域 控制 器 中 同步 复制 数据 库 。 同 步 完 成 后 ,网 络 管理 员 会 
发 现 已 经 删除 的 用 户 没有 被 正常 恢复 ,因为 此 用 户 的 “墓碑 记录 ”从 其 他 服务 器 上 被 复制 成 
功 。 当 遇 到 这 种 情况 的 时 候 , 可 以 使 用 Active Directory 备份 恢复 没有 删除 用 户 的 数据 库 ， 
然后 使 用 “授权 还 原 ” 的 方法 禁止 域 中 的 其 他 域 控制 器 复制 同步 Active Directory 数据 库 , 也 
就 是 说 在 网 络 中 发 布 一 个 通告 ,新 域 控 制 器 的 数据 是 最 高 标准 ,其 他 所 有 域 控制 器 都 要 以 该 
域 控 制 器 为 准 ,这 样 其 他 域 控 制 器 将 不 会 将 新 的 数据 同步 到 该 域 控制 器 中 。 

要 授权 还 原 活动 目录 数据 ,需要 在 还 原 系统 状态 数据 完成 后 ,服务 器 重新 启动 之 前 运行 
Ntdsutil 实用 程序 。 当 对 象 标记 为 授权 还 原 时 ,会 使 其 序列 号 比 活动 目录 复制 系统 中 的 所 
有 的 更 新 序列 号 都 要 大 ,从 而 保证 了 所 有 还 原 的 已 复制 或 已 分 发 的 数据 在 本 组 织 内 得 到 正 
确 的 复制 或 分 发 。 


习题 


1.“ 最 近 一 次 的 正确 配置 适用 于 哪些 情况 ? 
2.“ 最 近 一 次 的 正确 配置 不 适用 于 哪些 情况 ? 
3. 简 述 Windows Server Backup 可 完成 的 备份 操作 。 


实验 : 备份 并 恢复 服务 器 操作 系统 


实验 目的 : 

掌握 使 用 Windows Server Backup 备份 和 恢复 服务 器 操作 系统 的 操作 方法 。 

实验 内 容 : 

安装 并 使 用 Windows Server Backup 备份 操作 系统 ,并 使 用 备份 文件 进行 恢复 。 需 要 
注意 的 是 ,这 里 所 进行 的 恢复 操作 ,只 是 为 了 实验 目的 ,在 实际 操作 中 通常 不 会 连续 进行 恢 
复 操作 。 

实验 步骤 : 

(1) 安装 Windows Server Backup。 

(2) 使 用 图 形 化 界面 进行 完全 备份 。 

(3) 在 服务 器 上 创建 一 个 测试 用 户 。 

(4) 使 用 备份 文件 恢复 操作 系统 。 

(5) 检查 是 否 存在 创建 的 测试 用 户 。 


网 络 设备 故 障 的 诊断 与 排除 


在 检查 和 定位 网 络 故障 时 ,必须 认真 地 考虑 一 下 可 能 出 现 故 障 的 原因 ,以 及 应 当 从 哪里 
开始 着 手 ,一 步 一 步 进行 追踪 和 排除 ,直至 最 后 恢复 网 络 的 畅通 。 


13.1 故障 主要 原因 与 现象 


虽然 故障 现象 千奇百怪 ,故障 原因 多 种 多 样 , 但 总 的 来 讲 就 是 硬件 问题 和 软件 问题 , 即 
网 络 连接 性 问题 .配置 文件 和 选项 问题 .网 络 协议 问题 及 网 络 拓扑 问题 等 。 

1， 网 络 链 路 

网 络 链 路 是 故障 发 生 后 首先 应 当 考虑 的 原因 。 链 路 的 问题 通常 是 由 网 卡 、 跳 线 .信息 插 
座 、 网 线 、 交 换 机 等 设备 和 通信 介质 引起 的 。 其 中 ,任何 一 个 设备 的 损坏 ,都 会 导致 网 络 连接 
的 中 断 。 链 路 通常 可 采用 软件 和 硬件 工具 进行 测试 验证 ,例如 , 当 某 一 台 计 算 机 不 能 浏览 
Web 时 ,首先 想到 的 就 是 网 络 链 路 的 问题 。 到 底 是 不 是 呢 ? 这 要 通过 测试 进行 验证 。FTP 
可 以 登录 吗 ? 看 得 到 网 上 邻居 吗 ? 可 以 收发 电子 邮件 吗 ? Ping 得 到 网 络 内 同一 网 段 的 其 
他 计算 机 吗 ? 只 要 其 中 一 项 回答 为 "YES”, 那 就 不 是 链 路 问题 。 当 然 ,即使 回答 为 “NO”, 也 
不 就 表明 链 路 肯定 有 问题 ,而 是 可 能 会 有 问题 ,因为 如 果 计 算 机 网 络 协议 的 配置 出 了 毛病 也 
会 导致 上 述 现象 的 发 生 。 另 外 ,看 一 看 网 卡 和 交换 机 的 指示 灯 是 否 闪 烁 及 闪烁 是 否 正 常 。 

当然 ,如果 排除 了 由 于 计算 机 网 络 协议 配置 不 当 而 导致 故障 的 可 能 后 , 接 下 来 要 做 的 事 
情 就 比较 麻烦 了 。 查 看 网 卡 和 交换 机 的 指示 灯 是 否 正常 ,测量 网 线 是 否 通畅 ,检查 交换 机 的 
安全 配置 和 VLAN 配置 .直至 最 后 找到 影响 网 络 链 路 的 原因 。 

2. 配置 文件 和 选项 

所 有 的 交换 机 和 路 由 器 都 有 配置 文件 ,所 有 的 服务 器 .计算 机 都 有 配置 选项 ,而 其 中 任 
何 一 台 设 备 的 配置 文件 和 配置 选项 设置 不 当 , 同 样 会 导致 网 络 故障 ,例如 ,路 由 器 的 访问 列 
表 配 置 不 当 , 会 导致 Internet 连接 故障 ; 交换 机 的 VLAN 设置 不 当 , 会 导致 VLAN 间 的 通 
信 故 障 , 彼 此 之 间 都 无 法 访问 ,更 不 用 说 访问 Internet 了 ; 服务 器 权限 的 设置 不 当 , 会 导致 
资源 无 法 共享 或 无 法 获得 足够 权限 的 故障 ; 计算 机 网 卡 配 置 不 当 , 会 导致 无 法 连接 的 故障 
等 。 因 此 , 当 排除 硬件 故障 之 后 ,就 需要 重点 检查 配置 文件 和 选项 的 故障 了 。 当 某 一 台 计 算 
机 无 法 接 人 网 络 时 ,或 者 无 法 同 连 接 至 同一 交换 机 的 其 他 计算 机 通信 时 ,应当 检 查 接 人 交换 
机 的 配置 当 某 台 接 人 层 交换 机 无 法 连接 至 网 络 时 ,应 当 检 查 该 交换 机 级 联 端 口 以 及 汇聚 
层 交 换 机 的 配置 ; 当 同 一 VLAN 或 几 个 VLAN 内 的 交换 机 无 法 访问 时 ,应 当 检 查 接 人 、 汇 
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聚 或 核心 交换 机 的 配置 ; 当 所 有 交换 机 都 无 法 访问 Internet 时 ,就 应 当 检 查 路 由 器 或 代理 
服务 器 的 配置 ; 当 个 别 服务 无 法 实现 时 ,应 当 检 查 提供 相应 服务 的 服务 器 配置 。 

3. 网 络 协议 

网 络 协 议 其 实 就 是 在 网 络 设备 和 计算 机 网 络 中 彼此 “交谈 ”时 所 使 用 的 语言 。 因 此 ,说 
没有 网 络 协议 就 没有 网 络 这 句 话 一 点 都 不 过 分 。 没 有 网 络 协议 ,网络 内 的 网 络 设备 和 计算 
机 之 间 就 无 法 进行 通信 ,所 有 的 硬件 设备 也 不 过 都 是 一 堆 摆 设 而 已 。 这 就 和 “没有 操作 系统 
和 应 用 软件 ,计算 机 就 是 一 具 没 有 灵魂 的 躯壳 ?是 一 个 道理 。 因 此 ,网 络 协议 的 配置 在 网 络 
中 居于 举足轻重 的 地 位 ,决定 着 网 络 能 否 正 常 运行 。 网 络 协议 的 含义 非常 广泛 , 既 包 括 交 换 
机 和 路 由 器 执行 的 网 络 协议 ,也 包括 计算 机 和 路 由 器 执行 的 网 络 协议 。 其 中 任何 一 个 协议 
配置 不 当 或 没有 正常 工作 ,都 有 可 能 导致 网 络 瘫 痪 或 导致 某 些 服 务 被 终止 ,从 而 出 现 网 络 
故障 。 

4. 网 络 服务 故障 

网 络 服务 故障 主要 包括 3 个 方面 , 即 服务 器 硬件 故障 、 网 络 操作 系统 故障 和 网 络 服 务 故 
障 。 所 有 的 网 络 服务 都 必须 进行 严格 的 配置 或 授权 ,否则 ,就 会 导致 网 络 服务 故障 ,例如 , 服 
务 器 权限 的 设置 不 当 , 会 导致 资源 无 法 访问 的 故障 ; 主 目录 或 默认 文件 名 指定 错误 ,会 导致 
Web 网 站 发 布 错误 ; 端口 映射 错误 ,会 导致 无 法 提供 某 种 服务 ; 等 等 。 因 此 , 当 排除 硬件 故 
障 之 后 ,就 需要 重点 检查 配置 文件 和 选项 的 故障 了 。 当 企业 网 络 内 所 有 的 服务 都 无 法 实现 
时 ,应 当 检查 网 络 设备 的 配置 ,尤其 是 连接 网 络 服务 器 的 交换 机 的 配置 ; 如 果 只 有 个 别 服务 
无 法 实现 时 , 则 应 当 检 查 提供 相应 网 络 服务 的 相关 配置 。 


13.2 网 络 故 障 排除 过 程 


在 开始 动手 排除 故障 之 前 ,建议 先 准备 一 支 笔 和 一 个 笔记 本 ,将 故障 现象 认真 仔细 地 记 
录 下 来 。 也 就 是 说 ,应 当 养 成 一 种 良好 习惯 ,在 开始 着 手 进行 排除 故障 时 就 开始 做 笔记 ,而 
不 是 在 事情 做 完 之 后 才 来 做 。 认 真 而 翔实 地 记录 不 仅 有 助 于 一 步 一 步 地 记录 问题 .跟踪 问 
题 并 最 终 解决 问题 ,而 且 , 也 为 自己 或 同事 以 后 解决 类 似 问题 时 提供 完整 的 技术 文档 和 帮助 
文件 。 注 意 ,在 观察 和 记录 时 一 定 要 注意 细节 。 

1. 识别 故障 现象 

网 络 管理 员 在 进行 故障 排除 之 前 ,必须 确切 地 知道 网 络 上 到 底 出 了 什么 问题 ,是 不 能 共 
享 资源 ,还 是 不 能 浏览 Web 页 ,或 是 不 能 聊 QQ, 等 等 。 知 道 出 了 什么 问题 并 能 够 及 时 识别 
是 成 功 排除 故障 最 重要 的 步骤 。 对 一 名 优秀 网 络 管理 员 的 最 基本 要 求 , 首 先 就 是 对 问题 进 
行 快速 定位 ,也 就 是 说 ,能 够 及 时 找到 处 理 问题 的 出 发 点 。 

为 了 与 故障 现象 进行 对 比 ,必须 非常 清楚 网 络 的 正常 运行 状态 。 作 为 网 络 管理 员 ,如果 
系统 在 正常 情况 下 是 怎样 工作 的 都 不 知道 ,那么 又 怎么 能 够 对 问题 和 故障 进行 定位 呢 ? 因 
此 ,了 解 网 络 设备 、 网 络 服务 、 网 络 软件 、 网 络 资源 在 正常 状态 下 的 表现 方式 ,了 解 网 络 拓扑 
结构 、 理 解 网 络 协议 .掌握 操作 系统 和 应 用 程序 ,都 是 故障 排除 必 不 可 少 的 理论 和 知识 准备 。 
再 次 强调 ,在 识别 故障 现象 之 前 ,必须 明确 了 解 网 络 系统 的 正常 运行 特性 。 

识别 故障 现象 时 ,应 该 询问 以 下 几 个 问题 。 

(1) 当 被 记录 的 故障 现象 发 生 时 ,正在 运行 什么 进程 ? 
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(2) 这 个 进程 以 前 运行 过 吗 ? 

(3) 以 前 这 个 进程 的 运行 是 否 成 功 ? 

(4) 这 个 进程 最 后 一 次 成 功 运行 是 什么 时 候 ? 

(5) 故障 现象 是 什么 ? 

2. 对 故障 现象 进行 详细 描述 

当 处 理由 用 户 报 告 的 问题 时 ,对 故障 现象 的 详细 描述 显得 尤为 重要 。 当 网 络 管理 员 接 
到 用 户 电话 说 无 法 浏览 Web 网 站 ,如 果 仅 凭 这 些 消 息 , 恐 怕 任 何人 都 无 法 做 出 明确 的 判断 。 
这 时 ,就 要 亲自 到 现场 去 试 着 操作 ,运行 一 下 那个 程序 ,并 注意 出 错 信 息 , 例 如 ,在 使 用 Web 
浏览 器 进行 浏览 时 ,无 论 输入 哪个 网 站 都 返回 “该 页 无 法 显示 ”之 类 的 信息 ; 或 者 使 用 Ping 
程序 时 ,无 论 Ping 哪个 IP 地 址 都 显示 超时 连接 信息 等 ,诸如 此 类 的 出 错 消 息 会 为 缩小 问题 
范围 提供 许多 有 价值 的 信息 。 注 意 每 一 个 错误 信息 ,并 在 用 户 手册 中 找到 它们 ,从 而 得 到 关 
于 该 问题 更 详细 的 解释 ,是 解决 问题 的 关键 。 另 外 ,亲自 到 故障 现场 进行 操作 ,也 有 机 会 检 
查 用 户 操作 系统 或 应 用 程序 是 否 运行 正常 ,各 种 选项 和 参数 是 否 被 正确 地 设 定 。 如 果 在 操 
作 时 没有 任何 问题 , 那 就 可 能 是 操作 者 的 问题 了 。 不 妨 让 用 户 再 试 一 次 ,并 认真 监督 他 的 每 
一 步 操作 ,以 确保 所 有 的 操作 和 选项 都 被 正确 地 执行 和 设置 。 

当然 ,在 亲自 操作 时 ,应 当 对 故障 现象 做 出 详细 的 描述 ,认真 记录 所 有 的 出 错 信 息 ,并 快 
速记 录 所 有 有 关 的 故障 迹象 ,制作 详尽 的 故障 笔记 。 在 寻找 问题 答案 的 过 程 中 ,很 有 可 能 又 
导致 更 多 的 故障 现象 产生 。 所 以 在 开始 排除 故障 之 前 ,应 按 以 下 步骤 执行 。 

(1) 收集 有 关 故 障 现 象 的 信息 。 

(2) 对 问题 和 故障 现象 进行 详细 的 描述 。 

(3) 注意 细节 。 

(4) 把 所 有 的 问题 都 记 下 来 。 

3. 列举 可 能 导致 错误 的 原因 

接 下 来 要 做 的 就 是 列举 所 有 可 能 导致 故障 现象 的 原因 了 。 网 络 管理 员 应 当 考虑 导致 无 
法 使 用 Web 浏览 器 的 原因 可 能 有 哪些 ,如 网 卡 硬件 故障 、 网 络 连 接 故 障 、 网 络 设备 故障 、 
TCP/IP 协议 设置 不 当 等 。 在 这 个 阶段 不 要 试图 去 确定 哪 一 个 原因 就 是 问题 的 所 在 ,只 要 
尽量 多 地 记录 下 自己 所 能 想到 的 ,而 且 是 可 能 导致 问题 发 生 的 原因 就 可 以 了 。 或 许可 以 根 
据 出 错 的 可 能 性 把 这 些 原因 按 优先 级 别 进 行 排序 。 注 意 , 千 万 不 要 忽略 其 中 的 任何 一 个 
细节 。 

4. 缩小 搜索 范围 

网 络 管理 员 必 须 采 用 有 效 的 软 硬 件 工具 ,从 各 种 可 能 导致 错误 的 原因 中 一 一 剔除 非 故 
障 因素 。 对 所 有 列 出 的 可 能 导致 错误 的 原因 逐一 进行 测试 ,而 且 不 要 根据 一 次 测试 ,就 断定 
某 一 区 域 的 网 络 是 运行 正常 或 是 不 正常 。 另 外 ,也 不 要 在 自己 认为 已 经 确定 了 的 头 一 个 错 
误 上 停 下 来 ,而 不 再 继续 测试 。 因 为 此 时 既 可 能 是 搞 错 了 ,也 有 可 能 存在 的 错误 不 止 一 个 。 
所 以 ,应 该 使 用 所 有 可 能 的 方法 来 测试 所 有 的 可 能 性 。 
除了 测试 之 外 ,还 要 注意 做 以 下 几 件 重要 的 事情 。 

(1) 查看 网 卡 、 交 换 机 和 路 由 器 面板 上 的 LED 指示 灯 。 通 常情 况 下 ,绿灯 表示 连接 正 
常 ; 红 灯 表 示 连 接 故 障 ; 不 亮 表 示 无 连接 或 线路 不 通 ; 长 亮 表 示 可 能 存在 广播 风暴 ; 指示 
灯 有 规律 地 闪烁 才 是 网 络 正常 运行 的 标志 。 
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(2) 查看 服务 器 、 交 换 机 或 路 由 器 的 系统 日 志 , 因 为 在 这 些 系 统 日 志 中 ,往往 记载 着 产 
生 的 错误 以 及 错误 发 生 的 全 部 过 程 。 

(3) 如 果 有 幸 拥有 并 安装 了 诸如 CiscoWorks、HP OpenView 之 类 的 网 络 管理 软件 , 千 
万 不 要 忘记 用 它们 来 检查 一 下 哪些 设备 出 现 了 问题 。 由 于 这 些 网 络 管理 软件 往往 具有 图 形 
化 的 用 户 界面 ,因此 ,交换 机 各 端口 的 工作 状态 可 以 一 目 了 然 地 显示 在 屏幕 上 。 更 进一步 ， 
许多 网 络 管理 软件 还 具有 故障 预警 和 报警 功能 ,从 而 使 在 缩小 搜索 范围 时 省 下 不 少 的 力气 。 

当然 ,在 这 一 步 又 中 最 不 能 忘记 的 还 是 要 记录 下 所 有 观察 及 测试 的 手段 和 结果 。 

5. 隔离 错误 

网 络 管理 员 经 过 反复 地 测试 ,此 时 也 搞 清楚 了 到 底 是 哪 一 部 分 故障 导致 了 问题 的 发 生 ， 
并 最 终 确定 很 有 可 能 是 计算 机 出 错 了 。 于 是 , 便 开始 检查 该 计算 机 网 卡 是 否 安装 好 、TCP/ 
IP 协议 是 否 安装 并 设置 正确 、Web 浏览 器 的 连接 设置 是 否 得 当 等 一 切 与 已 知 故障 现象 相关 
的 内 容 。 然 后 , 剩 下 的 事情 就 是 排除 这 个 故障 了 。 此 时 ,由 于 对 所 发 生 的 故障 已 经 有 了 充分 
的 了 解 ,因此 ,故障 排除 也 就 手 到 擒 来 了 。 但 是 ,不 要 就 此 匆忙 地 结束 工作 ,因为 还 有 更 重要 
的 事情 等 着 去 做 。 

6. 故障 分 析 

处 理 完 问题 之 后 还 有 什么 要 做 的 呢 ? 作为 网 络 管理 员 必 须 搞 清楚 故障 是 如 何 发 生 的 ， 
是 什么 原因 导致 了 故障 的 发 生 , 以 后 如 何 避 免 类 似 故 障 的 发 生 , 拟 定 相 应 的 对 策 , 采 取 必 要 
的 措施 ,制定 严格 的 规章 制度 。 

对 于 一 些 非常 简单 明显 的 故障 ,上 述 过 程 看 起 来 可 能 会 显得 有 些 烦琐 。 但 对 于 一 些 复 
杂 的 问题 ,这 却 是 必须 遵循 的 操作 规程 。 

最 后 ,记录 所 有 的 问题 ,保存 所 有 的 记录 。 另 外 ,经 常 回顾 曾经 处 理 过 的 故障 也 是 一 种 
非常 好 的 习惯 ,这 不 仅 是 一 种 经 验 的 积累 ,便于 以 后 处 理 类 似 故障 ,而 且 还 会 启发 思考 许 许 
多 多 与 此 相关 联 的 问题 ,从 而 进一步 提高 理论 和 技术 水 平 。 


13.3 故障 诊断 与 排 错 


在 故障 发 生 时 ,作为 一 名 合格 的 管理 员 ,必须 能 够 清楚 地 对 故障 进行 诊断 ,并 使 用 相应 
的 措施 排除 故障 。 从 故障 发 生 时 所 表现 的 状况 着 手 进行 分 析 , 确 认 故 障 排除 方案 ,并 最 终 排 
除 故 障 。 


13.3.1 链 路 故障 


当 一 台 正常 连接 的 服务 器 突然 无 法 提供 服务 时 , 链 路 故障 的 可 能 性 非常 大 。 统 计 表 明 ， 
链 路 故障 在 网 络 故障 总 量 中 约 占有 80% 的 比重 ,因此 , 链 路 故障 是 网 络 中 最 常 发 生 的 故障 
之 一 。 通 常情 况 下 ,虽然 链 路 故障 的 表现 形式 比较 多 ,但 由 于 便于 观察 和 测试 ,因此 ,解决 起 
来 却 往往 并 不 困难 。 

1. 链 路 故障 的 表现 

链 路 故障 通常 表现 为 以 下 几 种 情况 。 

(1) 计算 机 无 法 登录 至 服务 器 。 

(2) 计算 机 在 网 上 邻居 中 只 能 看 到 自己 ,而 看 不 到 其 他 计算 机 ,从 而 无 法 使 用 其 他 计算 
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机 上 的 共享 资源 和 共享 打印 机 。 

(3) 计算 机 无 法 通过 局 域 网 接 入 Internet。 

(4) 计算 机 无 法 在 局 域 网 络 浏览 Web 服务 器 ,或 进行 E-mail 收发 。 

(5) 网 络 中 的 部 分 计算 机 运行 速度 十 分 缓慢 。 

2. 链 路 故障 的 分 析 

以 下 原因 可 能 导致 链 路 故障 。 

(1) 网 卡 未 安装 ,或 未 正确 安装 ,或 与 其 他 设备 有 冲突 。 

(2) 网 卡 硬件 故障 。 

(3) 网 络 协议 未 安装 ,或 设置 不 正确 。 

(4) 网 线 . 跳 线 或 信息 插座 故障 。 

(5) UPS 故障 。 

(6) 交换 机 电源 未 打开 ,交换 机 硬件 故障 ,或 交换 机 端口 硬件 故障 。 

(7) VLAN 设置 问题 。 

3. 链 路 故障 的 排 错 步骤 

当 计算 机 出 现 以 上 链 路 故障 现象 时 ,通常 建议 按照 以 下 步骤 进行 故障 的 定位 与 排 错 。 

(1) 确认 链 路 故障 

当 出 现 一 种 网 络 应 用 故障 时 ,如 无 法 接 入 Internet, 首 先 尝试 使 用 其 他 网 络 应 用 ,如 查 
找 网 络 中 的 其 他 计算 机 ,或 使 用 局 域 网 络 中 的 Web 浏览 ,等 等 。 如 果 其 他 网 络 应 用 可 正常 
使 用 ,如 虽然 无 法 接 入 Internet, 却 能 够 在 网 上 邻居 中 发 现 其 他 计算 机 ,或 可 Ping 到 其 他 计 
算 机 ,可 排除 链 路 故障 原因 。 如 果 其 他 网 络 应 用 均 无 法 实现 ,继续 下 述 步 又 。 

(2) 基本 检查 

查看 网 卡 的 指示 灯 是 否 正常 。 正 常情 况 下 ,在 不 传送 数据 时 ,网 卡 的 指示 灯 闪 烁 较 慢 ， 
传送 数据 时 ,闪烁 较 快 。 无 论 是 不 亮 ,还 是 长 亮 不 灭 , 都 表明 有 故障 存在 。 如 果 网 卡 的 指示 
灯 不 正常 , 需 关 掉 计 算 机 更 换 网 卡 。 如 果 指 示 灯 闪烁 正常 ,继续 下 述 步 又。 

(3) 初步 测试 

使 用 ping 命令 ,Ping 本 地 的 IP 地 址 或 127. 0. 0. 1 ,检查 网 卡 和 IP 网 络 协议 是 否 安装 
完好 。 如 果 能 Ping 通 , 说 明 该 计算 机 的 网 卡 和 网 络 协议 设置 都 没有 问题 ,问题 出 在 计算 
机 与 网 络 的 连接 上 。 因 此 ,应 当 检 查 网 线 的 链 路 和 交换 机 及 交换 机 端口 的 状态 。 如 果 无 
法 Ping 通 ,只 能 说 明 TCP/IP 协议 有 问题 ,而 并 不 能 提供 更 多 的 情况 。 因 此 , 需 继续 下 述 
步骤 。 

(4) 排除 网 卡 

在 “控制 面板 ”的 “系统 ”窗口 中 ,查看 网 卡 ( 网 络 适配器 ) 是 否 已 经 安装 或 是 否 出 错 。 如 
果 在 系统 中 的 硬件 列表 中 没有 发 现 网 络 适配器 ,或 网 络 适 配器 前 方 有 一 个 黄色 的 “!”, 说 明 
网 卡 未 安装 正确 , 需 将 未 知 设备 或 带 有 黄色 “1” 的 网 络 适配器 删除 ,刷新 后 ,重新 安装 网 卡 。 
并 为 该 网 卡 正确 安装 和 配置 网 络 协议 ,然后 进行 应 用 测试 。 如 果 网 卡 无 法 正确 安装 ,说 明 网 
卡 可 能 损坏 ,必须 换 一 块 网 卡 重 坛 。 如 果 网 卡 已 经 正确 安装 ,继续 下 述 步骤 。 

(5) 排除 网 络 协议 故障 

使 用 ipconfig /all 命令 查看 本 地 计算 机 是 否 安装 有 TCP/IP 协议 ,以 及 是 否 设置 好 IP 
地 址 、 子 网 掩 码 和 默认 网 关 、DNS 域名 解析 服务 。 如 果 尚 未 安装 协议 ,或 协议 尚未 设置 好 ， 
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安装 并 设置 好 协议 后 ,重新 启动 计算 机 ,执行 步骤 (2) 的 操作 。 如 果 已 经 安装 ,认真 查看 网 络 
协议 的 各 项 设置 是 否 正确 。 如 果 协 议 设置 有 错误 ,修改 后 重新 启动 计算 机 ,然后 再 进行 应 用 
测试 。 如 果 协 议 设置 完 全 正确 , 则 肯定 是 网 络 连接 的 问题 ,继续 执行 下 述 步 又 。 另 外 , 若 欲 
使 用 局 域 网 络 中 的 “网 上 邻居 ”, 应 安装 NetBEUI 协议 。 

(6) 故障 定位 

到 连接 至 同一 台 交换 机 上 的 其 他 计算 机 上 进行 网 络 应 用 测试 。 如 果 仍 不 正常 ,在 确认 
网 卡 和 网 络 协议 都 正确 安装 的 前 提 下 ,可 初步 认定 是 交换 机 发 生 了 故障 。 为 了 进一步 进行 
确认 ,可 再 换 一 台 计算 机 继续 测试 ,进而 确定 交换 机 故障 。 如 果 其 他 计算 机 测试 结果 完全 正 
常 , 则 将 故障 定位 在 发 生 故 障 的 计算 机 与 网 络 的 链 路 上 。 

(7) 故障 排除 

如 果 确 定 交 换 机 发 生 了 故障 ,应 首先 检查 交换 机 面板 上 的 各 指示 灯 闪 烁 是 否 正常 。 如 
果 所 有 指示 灯 都 在 非常 频繁 地 闪烁 ,或 一 直 亮 着 ,可 能 是 由 于 网 卡 损坏 而 发 生 了 广播 风暴 ， 
关闭 再 重新 打开 交换 机 电源 后 试 一 试看 能 否 恢复 正常 。 如 果 恢 复 正常 ,再 找到 红 灯 闪 烁 的 
端口 ,将 网 线 从 该 端口 中 拔 出 。 然 后 找到 该 端口 所 连接 的 计算 机 ,测试 并 更 换 损 坏 的 网 卡 。 
如 果 面 板 一 片 漆黑 ,一 个 灯 也 不 亮 , 那 也 不 要 过 于 担心 ,检查 一 下 UPS 是 否 工作 正常 ,交换 
机 电源 是 否 已 经 打开 ,或 电源 插头 是 否 接触 不 良 。 如 果 电 源 没有 问题 , 那 丽 怕 就 得 更 换 一 台 
交换 机 了 。 

如 果 确 定 故障 就 发 生 在 某 一 条 连接 上 ,做 起 来 就 稍微 麻烦 些 。 首 先 ,测试 .确认 并 更 换 
有 问题 网 卡 。 其 次 ,用 网 线 测试 仪 对 该 连接 中 涉及 的 所 有 网 线 和 跳 线 进行 测试 ,确认 网 线 的 
链 路 正常 。 如 果 问 题 就 出 在 这 儿 , 那 就 简单 了 ,重新 制作 网 头 或 更 换 一 条 网 线 就 行 了 。 最 
后 ,检查 交换 机 相应 端口 的 指示 灯 是 否 正 常 ,再 换 一 个 端口 试 试 。 


13.3.2 协议 故障 


没有 协议 就 没有 网 络 。 如 果 说 人 与 人 之 间 的 情感 交流 .思想 沟通 需要 通过 语言 来 实现 ， 
那么 ,计算 机 和 网 络 设备 之 间 的 通信 就 要 靠 协议 来 实现 。 协 议 之 于 网 络 正如 同 语言 之 于 人 
类 ,因此 ,协议 在 网 络 中 扮演 着 非常 重要 的 角色 。 协 议 故障 的 表现 在 许多 方面 与 链 路 故障 有 
相似 之 处 ,但 在 分 析 和 判断 时 , 却 要 比 链 路 故障 简单 得 多 ,解决 起 来 也 容易 得 多 。 既 无 须 借 
助 于 过 多 的 软件 工具 ,更 无 须 借 助 任 何 硬 件 工具 ,只 需要 使 用 Ping 命令 即 可 。 

1. 协议 故障 表现 

协议 故障 通常 表现 为 以 下 几 种 情况 。 

(1) 计算 机 无 法 登录 至 服务 器 。 

(2) 计算 机 在 网 上 邻居 中 既 看 不 到 自己 ,也 看 不 到 其 他 计算 机 或 查找 到 其 他 计算 机 。 

(3) 计算 机 在 网 上 邻居 中 能 看 到 自己 和 其 他 计算 机 ,但 无 法 在 局 域 网 络 中 浏览 Web 页 
面 收 发 E-mail。 

(4) 计算 机 在 网 上 邻居 中 既 看 不 到 自己 ,也 无 法 在 局 域 网 络 中 浏览 Web 页 面 \ 收 发 Email。 

(5) 计算 机 无 法 通过 局 域 网 接 人 Internet。 

(6) 与 网 络 中 其 他 计算 机 的 名 称 重复 ,或 者 与 其 他 计算 机 使 用 的 IP 地 址 相同 。 

2. 协议 故障 分 析 

以 下 原因 可 能 导致 协议 故障 。 
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(1) 协议 未 安装 。 实 现 局 域 网 网 络 通信 , 需 安装 NetBEUI 协议 ; 实现 Internet 通信 , 需 
安装 TCP/IP 协议 。 

(2) 协议 配置 不 正确 。TCP/IP 协议 涉及 的 基本 配置 参数 有 4 个 , 即 IP 地 址 、 子 网 掩 
码 .DNS( 域 名 解析 服务 ) 和 默认 网 关 , 任 何 一 个 设置 错误 ,都 会 导致 故障 发 生 。 

(3) 网 络 (VLAN) 中 有 两 个 或 两 个 以 上 的 计算 机 使 用 同一 计算 机 名 称 。 

3. 协议 故障 排 错 步骤 

当 计 算 机 出 现 以 上 协议 故障 现象 时 ,应 当 按照 以 下 步骤 进行 故障 的 定位 与 排 错 。 

(1) 检查 计算 机 是 否 安装 有 TCP/IP 协议 ,如 果 没 有 ,建议 安装 该 协议 ,并 重新 启动 计 
算 机 。 

(2) 检查 计算 机 的 TCP/IP 配置 参数 是 否 正确 。 如 果 设置 有 问题 ,修改 后 重新 启动 计 
算 机 ,并 再 次 测试 。 和 否则 ,将 无 法 浏览 Web 页 面 和 收发 E-mail, 也 无 法 享受 网 络 提供 的 其 他 
Jntranet 或 Internet 服务 。 

(3) 使 用 Ping 命令 ,测试 与 其 他 计算 机 和 服务 器 的 连接 状况 。 

(4) 在 “控制 面板 ”的 网 络 属性 窗口 中 , 单 击 “ 文 件 及 打印 共享 "按钮 ,在 显示 的 “文件 及 
打印 共享 ”对 话 框 中 检查 是 否 选 中 了 “人 允许 其 他 用 户 访 问 我 的 文件 ”和 "允许 其 他 计算 机 使 用 
我 的 打印 机 ” 复 选 框 ,或 者 它们 两 个 之 中 的 一 个 。 如 果 没 有 ,全 部 选中 ,或 选中 一 个 ,否则 ,将 
无 法 使 用 共享 文件 夹 。 

(5) 系统 重新 启动 后 , 稍 待 片刻 ,双击 “网 上 邻居 ?图 标 , 显 示 网 络 中 的 计算 机 和 共享 资 
源 。 如 果 仍 看 不 到 其 他 计算 机 也 不 要 灰心 ,使 用 “查找 ”功能 搜索 网 络 中 的 已 知 计算 机 ,或 者 
按 F5 键 对 整个 系统 刷新 ,这 时 就 会 惊喜 地 发 现 所 有 的 一 切 都 来 了 。 

(6) 在 网 络 属性 窗口 的 “标识 "文本 框 中 重新 为 该 计算 机 命名 ,使 其 在 网 络 中 具有 了 唯一 
性 。 计 算 机 名 不 超过 17 个 字符 , 且 不 得 包含 空格 。 可 见 ,校园 网 络 中 心 不 仅 要 负责 IP 地 址 
和 域名 的 分 配 与 管理 ,而且 也 要 负责 计算 机 名 称 的 分 配 与 管理 ,否则 ,将 导致 * 天 下 ”大 乱 。 
当然 ,由 于 NetBEUI 不 具有 路 由 功能 ,所 以 ,在 不 同 的 VLAN 中 ,计算 机 是 可 以 重 名 的 。 


13.3.3 配置 故障 


配置 错误 也 是 导致 故障 发 生 的 重要 原因 之 一 。 网 络 管理 员 对 服务 器 ,交换 机 、 路 由 器 的 
不 当 设 置 自然 会 导致 网 络 故障 ,计算 机 使 用 者 (特别 是 接触 计算 机 时 间 不 长 的 用 户 ) 对 计算 
机 设置 的 修改 ,也 往往 会 产生 一 些 令 人 意 想不到 的 访问 错误 。 配 置 故 障 更 多 的 时 候 是 表现 
在 不 能 实现 网 络 所 提供 的 各 种 服务 上 ,如 不 能 接 入 Internet, 不 能 访问 某 种 代理 服务 器 等 ， 
与 链 路 故障 在 表现 上 会 有 较 大 差别 。 在 故障 的 调查 、 分 析 和 测试 过 程 中 ,只 要 稍 加 留意 ,就 
会 很 容易 地 发 现 故 障 原因 。 服 务 器 和 网 络 设备 的 配置 往往 需要 较 多 的 理论 知识 和 较 高 的 技 
术 水 平 。 因 此 ,在 修改 配置 前 ,必须 做 好 原 有 配置 的 记录 ,并 最 好 进行 备份 。 

1. 配置 故障 表现 

配置 故障 通常 表现 为 以 下 几 种 情况 。 

(1) 网 络 链 路 测试 正常 , 却 无 法 连接 到 网 络 ,不 能 与 其 他 计算 机 通信 。 可 能 是 接 入 交换 
机 的 某 个 端口 配置 错误 ,也 可 能 是 用 户 的 IP 地 址 信息 配置 错误 。 

(2) 只 能 与 某 些 计算 机 ,而 不 是 全 部 计算 机 进行 通信 。 可 能 是 接 入 交换 机 配置 错误 ,也 
可 能 是 三 层 交 换 机 配置 错误 。 
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(3) 计算 机 只 能 访问 内 部 网 络 中 的 服务 器 ,但 无 法 接 入 Internet。 可 能 是 路 由 器 配置 错 
误 , 也 可 能 是 三 层 交 换 机 配置 错误 ,或 者 是 代理 服务 器 配置 错误 。 

(4) 计算 机 无 法 通过 代理 服务 器 接 人 Internet。 可 能 是 代理 服务 器 配置 错误 ,也 可 能 是 
用 户 端 应 用 程序 的 代理 服务 器 信息 设置 错误 。 

(5) 计算 机 无 法 登录 至 域 控 制 器 。 可 能 是 域 控制 器 设置 错误 ,也 可 能 是 客户 端 没 有 正 
确 添加 至 域 。 

(6) 计算 机 无 法 访问 任何 其 他 设备 。 可 能 是 没有 正确 安装 网 卡 驱 动 程序 ,网络 协议 ,或 
者 是 没有 正确 设置 IP 地 址 信息 。 

2. 配置 故障 分 析 

以 下 原因 可 能 导致 配置 故障 。 

(1) 服务 器 配置 错误 ,例如 , 域 控制 器 未 设置 或 已 到 期 的 用 户 , 将 无 法 登录 ; 服务 器 配 
置 错 误导 致 Web、E-mail 或 FTP 服务 停止 ; 代理 服务 器 访问 列表 设置 不 当 , 将 阻止 有 权 用 
户 接 入 Internet。 

(2) 网 络 设 备 配 置 错 误 , 例 如 ,路 由 器 访问 列表 设置 不 当 , 不 仅 会 阻止 有 权 用 户 接 入 
Internet, 而 且 还 会 导致 网 络 中 所 有 计算 机 都 无 法 访问 Internet; 第 三 层 交 换 机 的 路 由 设 
置 不 当 , 用 户 将 无 法 访问 另 一 VLAN 中 的 计算 机 ; 当 交 换 机 设置 有 安全 端口 后 , 非 授权 
用 户 对 该 端口 的 访问 ,将 导致 端口 锁 死 ,从 而 导致 该 端口 所 连接 的 计算 机 无 法 继续 访问 
网 络 ; VLAN 或 VLAN Trunk 设置 不 当 , 也 会 导致 某 台 或 某 些 计算 机 无 法 连接 到 核心 
网 络 。 

(3) 用 户 配 置 错误 ,例如 ,IP 地 址 信息 设置 错误 (特别 是 子 网 掩 码 或 默认 网 关 设 秆 错 
误 ); Internet Explorer 浏览 器 的 “连接 ?设置 不 当 , 用 户 将 无 法 通过 代理 服务 器 接 人 
Internet; 邮件 客户 端的 邮件 服务 器 设置 不 当 , 用 户 将 无 法 收发 E-mail。 

3. 配置 故障 排 错 步骤 

配置 故障 排 错 步骤 如 下 。 

(1) 检查 发 生 故障 计算 机 的 相关 配置 。 如 果 发 现 错误 ,修改 后 ,再 测试 相应 的 网 络 服务 
能 否 实现 。 如 果 没 有 发 现 错误 ,或 相应 的 网 络 服务 不 能 实现 ,执行 下 述 步 又。 

(2) 测试 同一 网 络 内 的 其 他 计算 机 是 否 有 类 似 的 故障 ,如 果 有 同样 故障 ,说 明 问 题 肯 定 
出 在 服务 器 或 网 络 设备 上 。 

(3) 如 果 没 有 类 似 故 障 ,也 并 不 能 排除 服务 器 和 网 络 设备 存在 设置 问题 的 可 能 性 ,也 应 
针对 为 该 用 户 提供 的 服务 做 认真 的 检查 。 


13.3.4 服务 器 故障 


导致 网 络 服务 故障 的 可 能 性 包括 3 个 方面 , 即 服务 器 硬件 故障 .操作 系统 故障 和 网 络 服 
务 故 障 。 通 常情 况 下 ,导致 网 络 故障 最 主要 的 原因 是 操作 系统 故障 ,因此 , 当 网 络 服务 故障 
发 生 时 ,首先 应 当 确认 服务 器 是 否 感染 病毒 或 被 攻击 。 

1. 操作 系统 故障 

服务 器 操作 系统 是 为 7X24 不 间断 运行 设计 的 ,因此 ,可 以 长 期 稳定 地 正常 运行 ,通常 
不 会 出 现 蓝屏 、 速 率 变 低 、 系 统 瘫 疾 等 客户 端 操作 系统 常见 的 系统 故障 。 然 而 ,服务 器 操作 
系统 本 身 也 存在 着 许多 系统 和 安全 漏洞 ,非常 容易 招致 蠕虫 病毒 或 其 他 各 种 恶意 攻击 。 
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(1) 病毒 侵袭 

蠕虫 是 一 种 通过 网 络 传播 的 恶性 病毒 , 它 具 有 病毒 的 一 些 共性 ,如 传播 性 .隐藏 性、 破坏 
性 等 ; 同时 具有 自己 的 一 些 特征 ,如 不 利用 文件 寄生 (有 的 只 存在 于 内 存 中 ) ,对 网 络 造成 拒 
绝 服 务 , 以 及 和 黑客 技术 相 结 合 等 。 网 络 的 发 展 使 得 蠕虫 可 以 在 短 短 的 时 间 内 莹 延 整个 网 络 ， 
造成 网 络 传输 速率 大 幅 下 降 , 其 至 导致 网 络 瘫痪 ,因此 ,对 企业 网 络 极 具 破坏 性 和 杀伤 力 。 

可 采取 以 下 方式 防范 病毒 攻击 。 

@ 只 提供 网 络 服务 。 除 非 维护 需要 ,否则 ,不 要 直接 对 服务 器 进行 操作 ,更 不 要 将 服务 
器 作为 普通 计算 机 使 用 ,随意 使 用 服务 器 浏览 Web 网 站 ,收发 电子 邮件 ,以 避免 由 于 访问 恶 
意 网 页 或 邮件 而 感染 病毒 。 

@ 关闭 不 需要 的 服务 。 关 闭 或 删除 系统 中 不 需要 的 服务 ,只 打开 网 络 服务 所 必须 使 用 
的 端口 。 提 供 的 服务 和 打开 的 端口 越 少 ,可 被 利用 的 安全 漏洞 也 就 越 少 ,服务 器 就 越 不 容易 
被 恶意 攻击 ,也 就 越 安全 。 

@ 安装 系统 补丁 。 绝 大 多 蠕虫 病毒 都 是 利用 系统 漏洞 进行 传播 的 ,因此 ,一 定 要 将 服 
务 器 设置 为 自动 下 载 并 安装 系统 升级 包 , 实 时 访问 微软 的 Windows Update 网 站 ,及 时 下 载 
并 安装 Windows 系统 (包括 应 用 程序 ) 安 全 补丁 。 

@ 安装 病毒 防火 墙 。 仅 有 系统 安全 补丁 是 不 够 的 ,还 必须 安装 专业 的 防 病毒 软件 ,并 
打开 防 病毒 软件 的 实时 监控 功能 ,及 时 发 现 并 清除 (或 隔离 ) 已 经 感染 的 病毒 。 另 外 ,应 当 及 
时 升级 防 病毒 程序 的 病毒 库 和 引擎 ,以 确保 能 够 识别 并 清除 最 新 发 现 的 病毒 。 

(2) 磁盘 空间 太 小 

作为 网 络 服务 器 ,往往 需要 2GB 以 上 的 空间 用 于 存储 临时 文件 。 当 剩余 的 硬盘 空间 较 
少时 ,将 严重 影响 服务 器 的 性 能 ,使 响应 速度 变 慢 ,严重 时 其 至 会 导致 系统 瘫痪 。 因 此 ,一 定 
要 将 系统 分 区 与 数据 分 区 分 开 ,一 方面 可 以 保证 数据 不 会 因为 系统 故障 而 丢失 ; 另 一 方面 
也 可 以 保证 系统 分 区 始终 拥有 足够 的 剩余 空间 。 

(3) 垃圾 文件 过 多 

系统 和 网 络 服务 在 正常 运行 过 程 中 会 产生 一 些 临时 文件 ,垃圾 文件 和 磁盘 碎片 。 正 常 
情况 下 ,临时 文件 会 被 系统 自动 删除 。 然 而 ,在 非 正常 关机 或 应 用 程序 非 正 常 退 出 时 ,临时 
文件 将 不 会 被 删除 掉 。 随 着 使 用 时 间 的 延长 ,垃圾 文件 会 越 来 越 多 ,除了 会 大 量 占用 宝贵 的 
硬盘 空间 外 ,还 将 导致 系统 运行 速度 变 慢 ,甚至 导致 系统 瘫痪 。 因 此 ,应 当 定 期 执行 系统 工 
具 中 的 “磁盘 清理 ,彻底 清除 不 再 使 用 的 临时 文件 和 垃圾 文件 。 

(4) 蓝屏 故障 原因 及 解决 方法 

虽然 现在 服务 器 操作 系统 的 稳定 性 得 到 了 很 大 的 提高 ,但 仍 有 发 生 蓝 屏 的 情况 出 现 , 因 
此 ,如 何 解决 蓝屏 的 问题 也 是 日 常 管理 的 工作 之 一 。 导 致 蓝屏 故障 的 原因 非常 多 ,CPU 过 
热 或 内 存 故障 .系统 硬件 冲突 、 系 统 缺陷 .病毒 或 黑客 攻击 注册 表 中 存在 错误 或 损坏 .启动 
时 加 载 程 序 过 多 ,程序 版 本 冲突 .虚拟 内 存 不 足 造 成 系统 多 任务 运算 错误 .动态 链接 库 文件 
丢失 ,系统 资源 冲突 或 资源 耗 尽 等 都 会 产生 蓝屏 。 另 外 , 软 硬 件 存在 冲突 也 很 容易 出 现 蓝屏 
现象 。 

借助 于 以 下 措施 ,可 以 有 效 地 消除 蓝屏 。 

@ 系统 扩容 时 ,优先 选用 同一 厂商 的 产品 ,以 保证 系统 之 间 的 硬件 兼容 性 。 

@ 了 解 产品 的 进货 渠道 ,确保 产品 质量 。 
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@ 安装 空气 调节 系统 ,确保 服务 器 能 够 及 时 、 有 效 地 散热 。 

@ 减少 系统 启动 时 的 自动 加 载 程序 。 随 系统 启动 的 程序 过 多 , 既 影响 系统 启动 速度 ， 
又 占用 各 项 资源 ,因此 ,在 系统 启动 时 ,应 当 只 加 载 服务 所 必需 的 程序 。 

@ 删除 多 余 的 DLL 文件。 在 Windows 操作 系统 的 System 子 目 录 里 有 许多 的 DLL 
文件 ,这些 文件 可 能 被 许多 文件 共享 ,但 有 的 却 没有 一 个 文件 要 使 用 它 ,也 就 是 说 这 些 文件 
没 用 了 ,为 了 不 占用 硬盘 空间 和 提高 启动 运行 速度 ,完全 可 以 将 其 删除 。 但 为 防止 误 删除 文 
件 ,特别 是 比较 重要 的 核心 链接 文件 ,可 用 工具 软件 如 * 超 级 兔子 "对 无 用 的 DLL 文件 进行 
删除 ,这样 可 防止 误 删除 文件 。 

@ 扩大 虚拟 内 存 容 量 。 虚 拟 内 存 是 Windows 系统 所 特有 的 一 种 解决 系统 资源 不 足 的 
方法 ,一般 要 求 为 物理 内 存 的 2 一 3 倍 。 虚 拟 内 存 过 小 将 容易 出 现 蓝屏 ,因此 ,必须 保证 虚拟 
内 存 的 容量 。 

@ 安装 系统 补丁 和 安全 补丁 ,使 操作 系统 处 于 最 佳 工 作 状 态 。 

2. 网 络 服务 故障 

由 于 操作 系统 Bug、 应 用 程序 缺陷 .内 存 质 量 \ 硬 盘 可 靠 性 等 各 种 不 可 预知 的 因素 ,有 了 时 
会 导致 网 络 服务 中 断 。 

当 网 络 服务 故障 发 生 时 ,通常 都 会 在 系统 日 志 中 有 记载 ,可 以 通过 “管理 工具 ”一 “事件 
查看 器 "窗口 查看 。 通 常情 况 下 ,系统 故障 会 记录 在 “系统 ”文件 夹 中 ,如 果 是 应 用 程序 或 非 
Windows 内 置 的 网 络 服务 发 生 故 障 , 则 会 记录 在 “应 用 程序 "文件 夹 中 。 

当 发 生 网 络 故障 时 ,可 以 采用 以 下 几 个 步骤 进行 处 理 。 

(1) 重新 启动 服务 。 依 次 打开 ”管理 工具 ”一 服务 "窗口 , 右 击 已 经 发 生 故 障 的 服务 , 选 
中 “启动 ”或 “重新 启动 " 单 选 按 钮 。 如 果 网 络 服务 通过 其 他 控制 台 管理 ,也 可 在 相应 的 控制 
台中 重新 启动 。 

(2) 重新 启动 计算 机 。 当 重新 启动 服务 仍然 无 法 正常 实现 网 络 服务 时 ,可 以 选择 重新 
启动 计算 机 ,清除 计算 机 内 存 重 新 加 载 网 络 服务 。 

(3) 重新 安装 服务 或 应 用 程序 。 如 果 重 新 启动 计算 机 仍然 不 能 排除 故障 ,可 以 考虑 印 
载 并 重新 安装 相应 的 Windows 组 件 或 应 用 程序 。 

3. 服务 器 硬件 故障 

由 于 服务 器 本 身 在 硬件 选用 上 非常 严格 ,所 以 ,通常 情况 下 ,在 非 人 为 干预 情况 下 ,发 生 
服务 器 故障 的 可 能 性 比较 小 。 所 以 ,硬件 故障 往往 是 在 安装 新 的 板 卡 、 修 改 系统 配置 文件 ， 
或 者 进行 扩容 后 发 生 的 。 

当 扩容 后 发 生硬 件 故障 时 ,应 当 执行 下 述 操作 。 

(1) 检查 扩容 部 件 。 去 掉 新 增加 内 存 `.CPU 或 第 三 方 /0 卡 ,检查 硬盘 软驱、 光驱 的 
信号 线 有 没有 接 反 , 跳 线 是 否 正确 。 

(2) 拔除 扩展 卡 。 拔 除 可 能 导致 故障 发 生 的 板 卡 ,直至 故障 恢复 。 

(3) 检查 板 卡 连接 。 检 查 内 存 `.CPU 或 其 他 板 卡 搬 得 是 否 牢靠 ,必要 时 拔 下 重新 安装 。 

当 安装 硬件 驱动 程序 后 发 生 故 障 ,应 当 执行 下 述 操作 。 

(1) 采用 安全 模式 。 如 果 系 统 无 法 正常 引导 ,可 以 在 系统 启动 时 , 按 F8 键 ,选择 “安全 
模式 ?选项 ,只 加 载 必须 的 硬件 设备 。 然 后 ,依次 打开 ”管理 工具 ”- 盖 计 算 机 管理 ”窗口 ,删除 
新 安装 的 硬件 。 
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(2) 恢复 系统 。 利 用 系统 恢复 功能 ,将 系统 恢复 至 安装 新 硬件 前 的 状态 。 
(3) 升级 驱动 程序 。 先 从 设备 厂商 的 官方 网 站 下 载 最 新 的 驱动 程序 ,然后 ,进入 “计算 
机 管理 ”窗口 , 右 击发 生 故 障 的 硬件 设备 ,选择 “更 新 驱动 程序 ”命令 ,升级 该 设备 的 驱动 


13.3.5 网 络 拓扑 故障 分 


一 般 情况 下 ,在 网 络 的 设计 之 初 ,网 络 设 计 者 们 都 已 经 将 网 络 的 各 种 功能 基本 上 发 挥 到 
了 一 定 的 程度 ,同时 也 已 经 考虑 到 了 某 些 故障 ,并 会 做 出 一 些 相应 的 措施 来 避免 故障 的 发 
生 。 但 作为 一 名 合格 的 网 络 工程 师 , 应 该 同时 做 出 相应 的 解决 方案 。 一 般 在 网 络 初次 建 好 
后 是 不 会 出 现 故障 的 ,因为 在 网 络 建 好 后 ,网 络 设计 者 已 经 将 各 种 网 络 设备 的 设置 .网 络 设 
备 的 连接 做 好 了 ,并 已 经 完成 了 种 种 调试 和 测试 。 

因为 网 络 拓扑 所 引起 的 故障 多 数 情况 下 是 由 于 网 络 管理 人 员 对 网 络 的 结构 模糊 ,或 者 
对 网 络 拓扑 结构 进行 某 些 操作 所 造成 的 ,所 以 对 于 网 络 拓扑 结构 来 说 其 故障 一 般 是 人 为 造 
成 的 。 其 网 络 拓扑 结构 故障 一 般 表 现 为 更 改 网 络 拓扑 结构 ,对 网 络 拓扑 结构 进行 优化 。 网 
络 拓扑 结构 的 更 改 , 主 要 是 由 于 对 网 络 设备 的 重新 配置 而 改变 了 网 络 的 拓扑 结构 ,以 及 在 网 
络 的 主要 结构 中 加 入 了 新 的 网 络 设备 而 改变 了 网 络 拓扑 结构 。 网 络 拓扑 结构 的 优化 故障 主 
要 是 由 于 网 络 管理 人 员 对 网 络 内 的 设备 ,包括 交换 机 、 路 由 器 ,进行 了 重新 配置 ,使 其 能 够 最 
大 限度 地 提供 服务 ,而 最 终 造 成 的 故障 。 

1. 更 改 拓 扑 结构 导致 网 络 故障 

由 于 局 域 网 中 的 网 络 拓扑 结构 相对 来 说 是 比较 稳定 的 ,一 般 不 会 像 笔 记 本 电脑 一 样 ,位 
置 可 以 随意 改变 。 但 这 并 不 能 说 ,网 络 拓扑 结构 是 一 定 不 能 改变 的 ,但 需要 注意 的 是 ,在 更 
改 自己 的 网 络 拓扑 结构 之 前 ,必须 对 需要 更 改 的 网 络 拓扑 结构 有 一 个 比较 详细 的 了 解 ,必须 
根据 现 有 的 网 络 拓扑 结构 进行 更 改 。 

建议 每 个 网 络 管理 人 员 都 要 备份 一 份 甚至 多 份 所 管理 的 网 络 的 拓扑 结构 图 ,这 样 做 的 
目的 就 是 在 网 络 出 现 故障 时 ,能 够 轻松 地 查找 故障 的 原因 。 另 一 方面 ,在 升级 网 络 时 可 以 避 
免 出 现 一 些 本 来 可 以 避免 的 故障 。 

随 着 技术 的 发 展 ,所 使 用 的 网 络 都 会 面临 着 升级 ,这 里 所 说 的 升级 ,不 单单 说 的 是 网 络 
设备 的 升级 ,还 包括 网 络 拓扑 结构 和 网 络 软件 的 升级 等 。 所 以 保证 网 络 的 可 升级 性 在 网 络 
的 设计 之 初 也 是 一 项 必 不 可 少 的 工作 。 网 络 升 级 和 扩展 的 空间 ,是 判断 网 络 好 坏 的 一 个 重 
要 指标 。 因 此 在 升级 网 络 前 ,应 首先 考虑 网 络 的 升级 空间 到 底 有 多 大 ,如 果 在 升级 网 络 时 ， 
完全 不 管 网 络 的 可 升级 性 ,而 对 网 络 盲目 地 添加 设备 .盲目 升级 ,有 可 能 会 在 升级 网 络 后 ,而 
产生 一 些 葛 名 其 妙 的 故障 ,从 而 最 终 使 用 户 吃 亏 。 

故障 实例 解析 如 下 。 

某 单位 的 网 络 主要 分 为 两 部 分 ,一 部 分 是 由 一 些 老 计 算 机 和 集线器 组 成 的 局 域 网 ,一 部 
分 是 由 一 些 新 计算 机 和 交换 机 组 成 的 局 域 网 。 一 开始 两 部 分 的 网 络 是 互相 独立 的 ,两 个 局 
域 网 之 间 并 不 能 进行 通信 ,现在 为 了 使 所 有 的 计算 机 都 能 够 互 访 , 便 使 用 一 根 双 绞 线 将 交换 
机 与 集线器 连接 在 了 一 起 ,但 连接 后 的 结果 并 不 像 开 始 所 想象 的 那样 两 部 分 的 网 络 计算 机 
可 以 实现 互相 之 间 的 信息 通信 ,而 是 一 部 分 计算 机 之 间 可 以 实现 信息 通信 ,剩余 部 分 的 计算 
机 之 间 却 不 能 进行 通信 ,从 而 造成 网 络 故障 的 发 生 。 
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既 有 交换 机 也 有 集线器 混合 构建 的 网 络 叫做 混合 网 络 ,因为 在 网 络 中 由 于 计算 机 数量 
比较 多 ,所 以 很 容易 使 网 络 传输 产生 碰撞 而 影响 正常 访问 。 另 外 ,由 于 交换 机 和 集线器 本 身 
工作 原理 的 不 同 ,也 使 得 交换 机 在 传输 带宽 和 传输 效率 方面 都 比 集线器 要 高 很 多 。 也 正 是 
这 个 原因 ,如 果 直接 将 交换 机 和 集线器 连接 在 一 起 工作 ,因为 其 工作 效率 是 不 相同 的 ,所 以 
会 很 容易 产生 网 络 通信 故障 。 这 里 所 发 生 的 故障 也 正 是 由 于 这 个 原因 所 造成 的 ,因此 如 果 
想 要 解决 该 网 络 的 故障 ,必须 从 故障 的 根源 上 着 手 ,也 就 是 前 面 所 说 的 更 改 网 络 的 网 络 拓扑 
结构 。 

对 于 混合 网 络 ,应 当 把 其 中 一 台 性 能 最 好 的 交换 机 作为 网 络 的 中 心 , 其 他 交换 机 、 集 线 
器 .服务 器 .打印 机 等 设备 都 连接 至 该 交换 机 ,而 普通 计算 机 则 连接 至 集线器 。 

这 种 方式 以 交换 机 端口 将 各 集线器 的 碰撞 域 分 隔 开 来 ,有 效 地 减少 了 网 络 碰撞 冲突 ,大 
幅度 提高 了 网 络 传输 效率 。 由 于 服务 器 和 打印 机 等 各 用 户 频繁 访问 的 设备 都 连接 至 交换 端 
口 , 拥 有 较 高 的 网 络 带宽 ,从 而 解决 了 网 络 的 传输 瓶颈 。 

2. 拓扑 结构 优化 造成 网 络 故障 

对 网 络 拓扑 结构 的 优化 是 指 对 已 经 正式 投入 使 用 的 网 络 结构 进行 分 析 , 并 找 出 影响 网 
络 运行 的 原因 ,并 且 通 过 采取 某 些 网 络 技术 手 段 优 化 网 络 , 从 而 达到 优化 网 络 的 运行 状态 ， 
充分 利用 资源 等 的 目的 。 尽 管 每 个 网 络 在 开始 设计 之 初 , 已 经 考虑 得 十 分 周密 ,但 随 着 时 间 
的 推移 ,设备 的 不 断 更 新 以 及 新 计算 机 的 购买 ,原来 所 规划 的 网 络 已 经 不 能 再 满足 所 要 求 的 
应 用 和 需求 ,此 时 对 网 络 进行 优化 就 成 为 确保 网 络 的 首选 。 

(1) 网 络 拓扑 结构 的 优化 

由 于 建 网 时 的 资金 限制 、 网 络 扩展 等 原因 ,而 使 网 络 结构 设计 不 合理 ,设备 使 用 不 合理 ， 
从 而 导致 网 络 使 用 效率 低 、 设 备 负 担 不 合理 ,网 络 运行 不 稳定 等 现象 产生 。 可 以 通过 优化 网 
络 结构 得 到 改善 ,以 提高 网 络 资源 的 利用 率 。 对 网 络 拓扑 结构 进行 优化 的 多 数 网 络 都 属于 
大 ,中 型 网 络 ,而 在 这 些 网 络 中 一 般 采 用 三 层 网 络 设计 模型 ,分 别 为 核心 层 、 汇 聚 层 和 接 
入 层 。 

在 实际 的 优化 过 程 中 由 于 三 层 结构 的 不 同 功能 ,优化 的 重点 主要 为 保证 核心 层 的 高 速 、 
稳定 、 可 靠 性 ; 汇聚 层 的 可 扩展 性 ; 接 人 层 的 可 管理 性 。 

在 网 络 拓扑 结构 优化 过 程 中 ,应 根据 网 络 的 实际 需求 选择 合适 的 拓扑 结构 。 在 传统 的 
网 络 拓扑 布线 时 ,为 了 减少 线路 成 本 ,比较 多 地 采用 节点 汇聚 的 方式 ,而 现在 随 着 网 络 介质 
成 本 的 降低 、 维 护 成 本 的 增加 ,网 络 设计 者 更 多 地 考虑 减少 节点 或 者 是 减少 有 源 节点 的 方 
式 , 将 汇聚 层 直接 设置 在 大 楼 内 部 ,从 核心 到 汇聚 都 采用 直接 逻辑 连接 ,不 再 设置 中 间 有 源 
节点 。 这 种 方式 主要 对 用 户 较 多 、 网 络 应 用 较 多 、 路 由 协议 复杂 的 大 规模 网 络 比较 适合 。 

(2) VLAN 的 规划 

LAN 可 以 是 由 少数 几 台 计算 机 构成 的 网 络 ,也 可 以 是 数 以 百 计 的 计算 机 构成 的 企业 网 
络 。VLAN(Virtual LAN ,虚拟 局 域 网 ) 所 指 的 LAN 特 指使 用 路 由 器 分 隔 的 网 络 一 一 也 就 
是 广播 域 。 使 用 VLAN 可 以 减少 在 解决 移动 ` 添 加、 修改 终端 用 户 等 问题 时 的 管理 开销 ; 
提供 控制 广播 的 功能 ,避免 混乱 ; 支持 工作 组 和 网 络 的 安全 性 。 对 网 络 进行 优化 时 需 根据 
用 户 类 型 和 管理 功能 的 不 同 划 分 VLAN ,避免 混乱 。 但 是 如 果 将 VLAN 设置 错 的 话 , 也 就 
是 直接 改变 了 局 域 网 的 拓扑 结构 ,所 以 在 设置 VLAN 时 要 加 倍 小 心 ,并 应 做 好 相应 的 关于 
VLAN 设置 信息 的 文档 的 备份 等 工作 。 
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1. 引起 网 络 故障 的 原因 有 哪些 ? 
2 简 述 网 络 故障 的 排除 过 程 。 

3. 简 述 链 路 故障 的 诊断 与 排 错 。 
4. 简 述 协议 故障 的 诊断 与 排 错 。 
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. 简 述 配置 故障 的 诊断 与 排 错 。 
. 简 述 服务 器 故障 的 诊断 与 排 错 。 
. 简 述 拓扑 故障 的 诊断 与 排 错 。 


实验 : 网 络 链 路 和 网 络 设备 故障 的 诊断 与 排除 


实验 目的 : 

掌握 网 络 链 路 和 网 络 设备 故障 的 诊断 与 排除 方法 。 
实验 内 容 : 

在 网 络 发 生 故 障 时 ,应 识别 并 排除 故障 ,做 好 相关 的 故障 记录 。 
实验 步 桑 : 

(1) 识别 故障 现象 。 

(2) 描述 故障 现象 。 

(3) 列举 可 能 导致 发 生 故障 的 原因 。 

(4) 缩小 故障 原因 的 搜索 范围 。 

(5) 隔离 并 排除 故障 。 

(6) 对 故障 进行 分 析 并 记录 。 
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